Releases: Feysh-Group/corax-community
Releases · Feysh-Group/corax-community
corax-java-cli-community-2.8
Change log:
- 新特性:增加标准的OSI认证 License LGPL v2.1 保障用户/公司内部等小范围群体拥有自由使用本软件的权力,与原许可证共存的双许可证模式(原许可证条例优先)
- 新特性:引入 CPG 程序分析框架支持 - 但受框架效率较低原因,后续再增加基于该框架的规则检查器开源示例
- 变更:所有报告输出使用
feysh.java.name.CheckType
名作为报告的 checker name,替换原有的cwe-id.CheckType
- 变更:spring data jpa 框架不存在sql拼接注入,移除
JpaAnnotationSqlSinks
检查器 - 修复:MyBatis 框架分析报错和漏报问题
- 修复:Spring 框架解析合成时候的dummy method初始化对象引用恒为空指针导致的漏报问题
- 修复:Spring 框架建模漏报问题,修复和补充taint规则
- 修复:完善漏洞库版本区间判断(jackson、ooxml和log4j),降低误报
- 修复:改进分析引擎,修复了若干崩溃和错误,增加了稳定性和正确性
corax-java-cli-community-2.8.zip 中包含编译好的规则配置和分析引擎二进制jar
SHA256: 23bd34e13286cdb5d250e8358744cbd2f8fee326752deb0f1c570cbc002e40a4
corax-java-cli-community-2.6
change log:
- 完全重构 MyBatis 框架适配部分,支持该框架的所有语法特性
- 完全重构 Spring 框架的动态解析生成 taint 配置
- 新增规则
cwe-89.MybatisSqlInjectionSinkHint
,可以报告所有的 mybatis sql 注入 sink 点和对应的完整静态 sql 语句,辅助安全人员分析 - 新增规则
cwe-22.ZipSlip
检查压缩文档处理时候的恶意文件覆盖漏洞 - 扫描的源码等资源文件支持放在压缩文件中,无需解压,但是需要
--source-path
指向改源码zip包 - 更多的分析参数检查,避免输入和输出重叠导致分析变慢
- 设计接口,解决
AIAnalysisApi
不能支持直接依赖PreAnalysisApi
的分析结果,并且使用不安全的全局变量传递以来数据问题。AIAnalysisApi
可以使用PreAnalysisApi
,并且增加同步等待分析结果功能 PreAnalysisApi
增加文件过滤功能,可自定义配置- 新增参数
--c2s-mode ClassNoPackageLayout
,支持源码文件和class文件没有按照包名放在对应结构文件夹中的场景 - 一些插件和检查器配置上的调整,简化检查器管理,规范代码
- 修复规则
cwe-330.PredictRandom
的误报 - 修复若干错误,增加了稳定性
SHA256: f9405e8e942a614e88971ef52c0afcd17a522c65132dd805d99a839ca0711652
corax-java-cli-community-2.5
change log:
- feat: 我们在之前开放6个规则的基础上,又向社区开放了21个和安全相关且最受关注的Java漏洞规则,详见 feature_diff.md 查看新增规则和测试集表现
- 减少受内存墙影响导致的漏报,可以增加参数
--strict
参数关闭所有可能导致随机性的 limit ,但是不保证分析不会OOM,特别是低内存机器上 - 修复因路径组合导致的超大size报告生成
- sarif默认使用中文输出,且可以通过
--preferred-lang
指定输出语言优先级 - 修复若干错误,增加了稳定性
SHA256: acacfc44cd28503b1274f3549e0343838468d42fd1752f72ea7a305fb0ce2126
corax-java-cli-community-2.4.1
corax-java-cli-community-2.3
change log:
- Fix 报告数量具有随机性的 BUG
如果需要进一步地解决随机问题,可以在{user.home}/.corax/settings.properties
加上一行dataFlowInterProceduralCalleeTimeOut=-1
关闭超时机制,才能彻底解决随机问题,但是可能出现分析耗时较长的问题(也可以将 timeout 改大一点,牺牲一点点分析完整性的同时保证报告效率(或避免可能的卡死bug,有请反馈并加上测试用例),默认15000 (15秒)) - Multi-threaded algorithm optimizations
- CLI optimizations and bug fixes
SHA256: c34ab7d7ca7cc3cbc4fd5e9fb2895a972f0be8d755a99fab547477ca692c5517
corax-java-cli-community-2.2
change log:
- feature: taint and analyse coverage report support (option: --enable-coverage)
- fix: mybatis mapper xml pattern match issue
- fix: xml parse crash by xpp3 library
- improve some taint rules
- improve source locator speed
SHA256: 07456AD059C6C40B525A51E9F48C8D260DA8ED3FAEA85817A113FE2D8970320A
corax-java-cli-community-2.1-snapshot
- 修复一些路径错误
- 解决部分漏报误报问题
- 兼容支持 flowdroid
sha256sum: 670dbfe0c5251ba3ec7b664135681fc637cce61715ca33df86b7c082a8e0b93c
corax-java-cli-community-2.0
SHA256: 4CA01C9088A4F5F878275C33D286E4A935D49D863AF540A2E9B31D758B9D97E6