BitVisor 소스 코드를 GitHub Code Scanning에 적용했습니다.

네, 제목 그대로입니다. 최근의 BitVisor 소스 코드를 최근 public 리포지토리라면 공짜로 사용할 수 있게 된 GitHub Code Scanning에 걸쳐 보았습니다. 코드를 스캔하여 취약성 등을 자동으로 찾아보고합니다.







아직 조사하지는 않았지만, 스캔 처리와 취약성 보고 등의 다른 처리를 조합하여 워크플로우를 구축하기 위한 기구도 충실한 것 같습니다.

어서 체크!



결과는 다음과 같습니다.



많은 소스 코드를 포함한 BitVisor의 전체 리포지토리를 스캔해도 나온 경고는 5개뿐입니다. 다른 사람들과 비교하지는 않았지만 BitVisor 코드는 예상보다 훨씬 안전하다고 생각했습니다.



나온 경고는 구체적으로 다음과 같습니다. 잠재적으로 위험한 함수를 사용하고 곱셈 결과를 큰 유형으로 변환합니다.

경고되는 잠재적으로 위험한 함수는 gmtime과 localtime입니다. 매우 위험한 함수가 아닌 것 같습니다.

승산에 대해서는 3개 모두, 승산 결과가 int에는 필요하지 않고 넘칠지도 모른다고 하는 경고입니다. 대응하는 부분의 소스 코드를 보았습니다만, 넘치는 일은 없을 것 같았습니다.



보안 권고의 개수는 0이므로, 거기를 봐도 아무것도 나오지 않습니다.



"보안 VM"이라는 단어를 오랜만에 기억했습니다.

INTERNET Watch 2016/10/11: 인텔과 쓰쿠바대학, 정부 주도의 차세대 OS 환경 '시큐어 VM' 개발에서 협력