search
LoginSignup
0
Help us understand the problem. What are the problem?

More than 1 year has passed since last update.

BitVisor Advent Calendar 2020 Day 20

posted at

updated at

BitVisorのソースコードをGitHub Code Scanningにかけてみた

はい,タイトルそのまんまです.最新のBitVisorのソースコードを,最近publicレポジトリならタダで使えるようになったGitHub Code Scanningにかけてみました.コードをスキャンして,脆弱性などを自動的にみつけて報告してくれます.

github-release.jpg

github-community.jpg

github-scanning.jpg

まだよく調べていませんが,スキャンの処理と,脆弱性の報告などの他の処理を組み合わせてワークフローを構築するための機構も充実しているようです.

さあチェック!

analyze.jpg

結果は以下の通りです.

bitvisor-result.jpg

多くのソースコードを含むBitVisorのレポジトリ全体をスキャンしても,出たアラートは5つだけ.他と比較したわけではありませんが,BitVisorのコードは予想よりもかなりセキュアだと思いました.

bitvisor-result-overview.jpg

出たアラートは具体的には以下の通り.潜在的に危険な関数の使用と,乗算結果の大きな型への変換です.

警告されている潜在的に危険な関数はgmtimeとlocaltimeです.すごく危ない関数ではないような.

乗算については3つとも,乗算結果がintにはいらずあふれるかもしれないよという警告です.対応する部分のソースコードを見てみたんですが,あふれることはなさそうに思いました.

bitvisor-result-alert.jpg

セキュリティアドバイザリの個数は0ですので,そこを見ても何も出てきません.

bitvisor-result-advisory.jpg

「セキュアVM」という単語を久しぶりに思い出しました.

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
0
Help us understand the problem. What are the problem?