如何最好地将“安全漏洞反馈”呈现给IDE中的开发人员(如VisualStudio)

Question

今天，我发布了一个非常酷的PoC，我能够在开发人员用VisualStudio编写代码时向他提供实时的“安全漏洞反馈”。

您可以在VisualStudio内部的实时漏洞创建反馈(包括绿色和红色)上看到视频，用户每次更改代码时，都会自动编译(使用罗斯林的C#编译器)和扫描(使用Cat.NET)。

虽然这个PoC是很累进的(我对每个keystoke都进行了编译和扫描，这有点OTT)，但是这里还有另一个视频显示了一个更大的保存上的compilation+scan：实时C#解决方案编译和安全扫描(使用Roslyn和Cat.NET)

这个PoC的关键在于它代表了我们需要(某些类型的)安全问题的实时循环(几乎是REPL)。

接下来，我们需要考虑向开发人员展示这些信息的最佳方法。例如，我在想，我们可能想要有一些颜色显示取决于问题的类型，它可能是多么严重，它的可开发性，等等。

另一个很酷的想法是改变光标的颜色或形状(考虑大小)，这取决于当前未决问题的数量:)

Answer 1

这里的开发人员只使用IDE中提供的工具和可视化功能。不要试图带来你自己的味道，因为这只是他们需要学习的一个新事物。毕竟，您只是突出了一个问题区域。

在IDE中任何时候都不应该指定代码的正确形式，因为您不了解开发人员当前在其中工作的上下文。这类工作应该在发布的构建管道中进行。

如果由于安全问题而阻止项目编译，那么您的工具就是一个问题，应该立即从任何开发环境中删除。

有时，人们希望将易受攻击的代码作为测试工具来编写，或者在现有的代码基础上，在代码库之外有一些控件。更别提罗斯林诊断分析器在项目范围内是糟糕的，并且仅限于一个单元。

Answer 2

当窗口失去焦点或获得焦点时，触发安全编译如何？或者在用户10秒的不作为之后？当文件被保存时，一定要这样做，这是一个很好的方法，它总是发生在构建前。

对于开发人员的反馈，如何在面板左侧显示显示调试断点的区域中显示彩色头骨和十字骨？用颜色表示严重程度:黄色表示“必须修复”，红色表示“OMG！”将鼠标指针悬停在上面可以弹出描述错误的工具提示。

可以将背景设置为浅红色(或彩色)渐变，其强度以漏洞为中心。或者在滚动条旁边使用彩色条，比如WinDiff的屏幕来显示差异所在。使用黑色、白色或不存在的线段来表示错误区域，使用颜色与表示漏洞的头骨相匹配的线段。

至少要确保它输出的错误破坏了构建。

Answer 3

您需要告诉开发人员，没有任何自动系统能够发现每个缺陷，开发人员需要谨慎行事，自己寻找缺陷。错误的安全感是您可以提供给开发人员的绝对最糟糕的东西。

什么都不相信，测试一切。

(在附带说明中，简单地强调每一个危险的功能并提供文件说明为什么是危险的可能是非常有用的。此外，您应该认识到，使用这种“解决方案”将永远无法解决实际应用程序中1/2的严重安全问题。缺少重要控件不能加下划线或突出显示，因为不存在。)