Corax社区版更新v2.8，引入CPG分析框架支持

Corax社区版更新v2.8，在分析器中引入了对CPG程序分析框架的支持。

详情可参考：

https://github.com/Feysh-Group/corax-community/releases/tag/v2.8

openCorax

openCorax是蜚语开源的社区版Java分析工具，具备与Corax商业版同样的底层分析能力，并且将SQL注入等常见的Java漏洞分析器开源，支持规则自定义。

github (主仓库)：

https://github.com/Feysh-Group/corax-community

gitee (国内访问)：

https://gitee.com/feysh-inc/corax-community

本次v2.8版本的Change log具体内容如下：

新特性

增加标准的OSI认证 License LGPL v2.1 保障用户/公司内部等小范围群体拥有自由使用本软件的权力，与原许可证共存的双许可证模式（原许可证条例优先）。

新特性

引入 CPG 程序分析框架支持 - 但受框架效率较低原因，后续再增加基于该框架的规则检查器开源示例。

变更

所有报告输出使用 feysh.java.name.CheckType 名作为报告的 checker name，替换原有的 cwe-id.CheckType。

变更

spring data jpa 框架不存在sql拼接注入，移除JpaAnnotationSqlSinks检查器。

修复

MyBatis 框架分析报错和漏报问题。

修复

Spring 框架解析合成时候的dummy method初始化对象引用恒为空指针导致的漏洞问题。

修复

Spring 框架建模漏报问题，修复和补充taint规则。

修复

完善漏洞库版本区间判断（jackson、ooxml和log4j），降低误报。

修复

改进分析引擎，修复了若干崩溃和错误，增加了稳定性和正确性。

Corax社区版还在不断更新中，欢迎通过以下方式向我们提交bug和需求：

○ 通过github issue

○ 发送邮件至[email protected]

○ 添加Corax社区助手微信号“corax_co”邀您进群

往期Corax社区版介绍文章

✦

往期推荐

Corax已全面支持MISRA C/C++:2023指南

如何用Corax社区版实现0day自由(二)：实战第一课

如何用Corax社区版实现0day自由(一)：技术原理与能力边界

如何建立高效的C/C++软件研发质量管理体系（一）

蜚语安全是一家专注于提供软件供应链安全创新解决方案的网络安全企业，成立于2019年。蜚语安全孵化自上海交通大学计算机系，创始团队由4名博士组成，拥有十数年的前沿安全研究和一线安全业务经验。蜚语安全扎根左移安全开发赛道，深耕企业安全服务市场，以自动化程序分析技术为核心，致力于探索软件供应链安全的新场景和新边界。蜚语安全现已完成多轮融资，服务于众多世界500强、高科技与互联网公司。得益于客户与资本市场的信任，蜚语安全正处在快速增长之中。

蜚语官网

Corax开源版