Sigma：轻量快速的代码安全“侦察兵”

在瞬息万变的软件开发世界里，安全问题如同潜伏的暗礁。传统深度安全扫描往往耗时耗力，与追求快速迭代的现代开发节奏格格不入。这时，一款名为Sigma的工具悄然登场，它如同一位敏捷的“侦察兵”，旨在用速度与轻量为开发团队提供第一道安全防线。

Sigma是Black Duck旗下的一款快速、易用的静态分析扫描器。它专为现代化开发体系量身打造，能够无缝集成到开发流程中。对于那些快速发展中的项目、正在拥抱云计算的团队，或者是刚刚开始关注应用安全、希望以最小时间和资源投入评估代码风险的组织而言，Sigma是一个理想的选择。

技术提示：Sigma是“Rapid Scan Static”功能的驱动引擎。在相关文档中，（Black Duck）Rapid Scan Static 指代的就是Sigma工具。

静态分析与Sigma的工作之道

静态分析是一种可以在代码早期阶段进行测试的技术，旨在问题根深蒂固、修复成本高昂之前就将其纠正。它的强大之处在于能够测试代码的每一条可能执行路径，这是通过动态测试覆盖难以企及的。

Sigma的分析核心是许多被称为 “检查器” 的小型组件，它们是分析的“步兵”。每个检查器专注于寻找一种特定类型的问题，其严重性范围从提示信息到严重漏洞不等。而每个检查器内部又包含多个具体的 “检查项”。

例如，一个名为 access_control_disable 的检查器，可能包含针对AWS SDK、Postgres和Open API的独立检查项。当检查项发现问题时，它会提供详细的修复建议。这些诊断和修复信息会被包含在Sigma生成的结果文件中，并可以展示在任何能解析该结果的系统中，例如SARIF查看器、GitHub或GitLab的问题管理界面等。

此外，Sigma允许用户定义安全策略，将开发流程与安全关切对齐。利用这些策略，当Sigma发现违反规则的问题时，它可以使构建失败，从而让团队在继续前进之前解决这些问题。

最佳搭档：Sigma与Coverity的互补

为了达到最佳的整体效果，官方推荐将Sigma与另一款静态分析工具Coverity结合使用。这两款工具形成了完美的互补，允许开发团队在开发的不同阶段检查代码：

·Sigma：提供广泛而浅层的覆盖，更新迅速。团队可以在每次代码提交时运行超轻量的快速扫描。

·Coverity：提供更深入但更耗时的分析。

通过Sigma先发现那些较为直接的问题后，团队可以安排每日或每周运行一次Coverity扫描，进行更深层次的挖掘，识别更复杂的逻辑漏洞。这种组合策略兼顾了效率与深度。

如何使用Sigma：命令行与CI/CD集成

Sigma主要通过其CLI（命令行界面）工具 sigma 来操作，用户可以用它来扫描代码、定义策略、获取信息以及配置扫描。大部分定制化功能通过设置环境变量即可实现。

开发人员可以直接在命令行中使用它，也可以将其嵌入到CI/CD（持续集成/持续部署）流水线中，用于自动扫描代码或充当质量关卡。

一些常用命令示例：

·扫描代码：

sigma analyze            

·列出所有可用的检查器及关联的检查项（包含语言、CWE编号、严重性等信息）：

sigma checkers            

·获取某个特定检查项或检查器的详细信息：

sigma explain <检查项名>|<检查器名>            

每个检查项都具备几个关键属性：启用/禁用状态、支持的一种或多种编程语言，以及关联的严重性等级。用户可以根据需要配置Sigma，来改变检查项的启用状态和严重性级别。

基本用例与工作流

Sigma可以在多种场景下运行：

1.在Linux、Mac或Windows平台的命令行中直接运行。

2.集成在CI/CD流水线中自动执行。

3.作为持续集成作业中的一道质量关卡。此时，可以配置策略来设定构建成功必须满足的条件，例如禁止出现特定问题或超过某一严重级别的问题。

基础命令行工作流大致如下：

1.下载Sigma。

2.（按需）进行配置。

3.执行代码扫描。

4.查看扫描结果。

5.根据结果修复或处理已发现的问题。

CI/CD流水线集成工作流则稍有不同：

1.下载Sigma。

2.将Sigma上传到CI/CD工具可以访问的位置（如文件仓库）。

3.（按需）进行配置。

4.创建CI/CD任务模板，配置其从指定URL下载Sigma二进制文件，或拉取Sigma的Docker镜像并运行。

5.如果计划将Sigma用作质量关卡，则需要定义要使用的策略。

6.查看扫描结果并处理问题。

如何获取Sigma

Sigma以二进制文件或Docker镜像两种格式提供，两者均可用于集成到构建流水线的CI/CD模板中。这些资源可以从Black Duck社区获取。

重要前提：要下载Sigma，用户必须拥有当前有效的Coverity许可证（即2021年6月之后签发或续期的许可证）。拥有许可证后，登录Black Duck社区，导航至“LICENSES & DOWNLOADS > Downloads”页面，即可从“Premium Downloads”选项卡中选择最新版本的Sigma。（注意：这并不需要实际安装Coverity。）

使用二进制文件的步骤相对直接：下载后即可作为独立产品进行测试和配置。对于CI/CD集成，则需要将二进制文件上传到某个文件仓库，以便流水线任务通过curl等命令下载，并在任务模板中配置相应的下载URL。

下载地址： https://download.csdn.net/download/oscar999/92564379

使用Docker镜像的步骤稍多，主要涉及镜像的加载、重命名标签和推送到私有仓库：

1.从社区下载压缩的tar包（.tar.gz）。

2.使用docker load命令将镜像加载到本地。

3.使用docker tag为镜像打上适合自己环境的仓库名和标签。

4.使用docker push将镜像推送到团队可访问的Docker镜像仓库。

5.最后，在CI/CD任务模板中，配置使用推送后的镜像名和标签来运行Sigma。

通过上述方式，Sigma就能以轻便、快速的姿态，融入到从开发者桌面到自动化流水线的各个环节，成为守护代码安全的一名高效“侦察兵”。