Symbol Kuralları
Model ve binary dosyalarda riskli sembol, fonksiyon adı ve yerel çağrı izlerini bulur.
Semboller kural ailesi; bu yüzeydeki bulguları kural kimliği, öncelik, CWE, OWASP LLM, sorumlu, yayın kararı ve yeniden test komutuyla kapatılabilir aksiyona çevirir.
Sembol bilgisi, model paketinin sadece ağırlık taşımadığını ve çalışma zamanı davranışı içerdiğini gösterebilir.
Desteklenen girdiler
.so.dylib.dllPython extension modulesCUDA kernels
Tipik saldırı senaryoları
- Yerel eklenti sistem komutu çalıştıran semboller içerir.
- Model paketi beklenmeyen dinamik loader izleri taşır.
- Binary dosya debug veya iç gizli bilgi ipuçları bırakır.
Algılama mantığı
Sentinel Semboller kurallarında kanıt alanını dosya yolu, üst veri, opcode, AST düğümü, manifest alanı, bağımlılık veya arşiv girdisi gibi yeniden üretilebilir sinyale bağlar. Bulgu kapatılırken aynı sinyal ortadan kalkmalıdır.
İnceleme ve önceliklendirme
Semboller bulgularını tek başına "tarayıcı gürültüsü" gibi okumayın. Önce kanıtı doğrulayın, sonra yayın kararını önceliğe bağlayın, en sonunda aynı Sentinel komutuyla kapanış kanıtı üretin.
- Kaynak: dosya, manifest, istem, arşiv veya bağımlılık nereden geldi?
- Etki: kod çalıştırma, veri sızıntısı, tedarik zinciri veya kaynak tüketimi mi?
- Kontrol: izin listesi, hash doğrulaması, yalıtım, ağ çıkış politikası veya gizli bilgi döndürme gerekiyor mu?
- Kanıt: düzeltmeden sonra aynı kural kategorisi temiz dönüyor mu?
Düzeltme
Düzeltme, yalnızca bulguyu susturmak değil risk sınırını değiştirmek anlamına gelmelidir: çalıştırılabilir biçimi kaldırın, kaynak veya hash değerini sabitleyin, araç iznini daraltın, gizli bilgiyi döndürün ya da çalışma zamanı yalıtımı ekleyin.
CI politikası
category: SYM
fail_on:
- CRITICAL
- HIGH
ticket_on:
- MEDIUM
retest: "sentinel sast ./src/ --rule SYM"Kural dizini
| Kural kimliği | Öncelik | Başlık | CWE | Düzeltme ipucu |
|---|---|---|---|---|
| SYM-DANGEROUS-EXPORT | HIGH | Tehlikeli Yerel Dışa Aktarım | CWE-749 | Tehlikeli dışa aktarım taşıyan yerel eklentileri açık onay yoksa engelleyin. |
| SYM-NATIVE-LOAD-HOOK | HIGH | Güvensiz Yerel Yükleme Kancası | CWE-829 | Yerel yükleyici yollarını imzalı dosyalara sabitleyin. |
| SYM-UNRESOLVED-ENTRYPOINT | LOW | Çözümlenemeyen Yerel Giriş Noktası | CWE-477 | Yerel çalışma zamanı ABI ve eklenti sürümlerini uyumlu tutun. |
SYM-DANGEROUS-EXPORT — Tehlikeli Yerel Dışa Aktarım
HIGH| Kural kimliği | SYM-DANGEROUS-EXPORT |
|---|---|
| Kategori | SYM |
| Öncelik | HIGH |
| CWE | CWE-749 |
| OWASP LLM | LLM03 — Supply Chain |
| Yanlış pozitif riski | MEDIUM |
| Sorumlu | Uygulama güvenliği ve arka uç/ajan sahibi |
| Yayın kararı | Yayın kapısı olarak değerlendirin; düzeltme veya açık risk kabulü gerekir. |
Açıklama
Yerel eklenti veya binary içinde sistem komutu, dinamik yükleme ya da hassas dosya işlemi çağrıştıran dışa aktarımları tespit eder.
Neden önemli?
Sembol bilgisi, model paketinin sadece ağırlık taşımadığını ve çalışma zamanı davranışı içerdiğini gösterebilir.
Ne zaman tetiklenir?
Sentinel bu kuralı Semboller kategorisinde şu kanıtı gördüğünde tetikler: Sembol tablosunda system, exec, dlopen, LoadLibrary veya benzeri riskli semboller görülür. Bulgu; dosya adı, üst veri, opcode, AST düğümü veya manifest alanı gibi yeniden üretilebilir kanıtla raporlanmalıdır.
Kanıt biçimi
Sembol tablosunda system, exec, dlopen, LoadLibrary veya benzeri riskli semboller görülür.
Beklenen kanıt
Rapor; etkilenen dosya veya manifest yolunu, yakalanan sinyali, kural kimliğini, önceliği, sorumluyu ve kapanışta çalıştırılacak yeniden test komutunu içermelidir.
Yanlış pozitif notu
Yanlış pozitif olasılığı orta seviyededir. Önce kaynak, beklenen kullanım ve sahip bilgisini doğrulayın; gerekirse izin listesi ekleyin ama kanıtı rapordan silmeyin.
İnceleme ve önceliklendirme
- Sorumlu: Uygulama güvenliği ve arka uç/ajan sahibi.
- Karar: Yayın kapısı olarak değerlendirin; düzeltme veya açık risk kabulü gerekir.
- Kanıt: Sembol tablosunda system, exec, dlopen, LoadLibrary veya benzeri riskli semboller görülür.
- Kapanış: sentinel sast ./src/ --rule SYM komutu temiz dönmeli.
Nasıl düzeltilir?
Tehlikeli dışa aktarım içeren yerel eklentileri açık onay olmadan engelleyin ve kaynak kod incelemesi isteyin.
CLI
sentinel sast ./src/ --rule SYMPolitika örneği
rules:
SYM-DANGEROUS-EXPORT:
owner: "Application security and backend/agent owner"
fail_on: ["CRITICAL", "HIGH"]
retest: "sentinel sast ./src/ --rule SYM"Beklenen çıktı
SYM-DANGEROUS-EXPORT HIGH
Tehlikeli Yerel Dışa Aktarım
Tehlikeli dışa aktarım taşıyan yerel eklentileri açık onay yoksa engelleyin.Örnek
ctypes.CDLL("./plugins/libcustom_op.so")ctypes.CDLL("/opt/eresus/signed/libcustom_op.so") # Hash verified before load.İlgili kurallar
- SYM-NATIVE-LOAD-HOOK: Güvensiz Yerel Yükleme Kancası
- SYM-UNRESOLVED-ENTRYPOINT: Çözümlenemeyen Yerel Giriş Noktası
SYM-NATIVE-LOAD-HOOK — Güvensiz Yerel Yükleme Kancası
HIGH| Kural kimliği | SYM-NATIVE-LOAD-HOOK |
|---|---|
| Kategori | SYM |
| Öncelik | HIGH |
| CWE | CWE-829 |
| OWASP LLM | LLM03 — Supply Chain |
| Yanlış pozitif riski | MEDIUM |
| Sorumlu | Uygulama güvenliği ve arka uç/ajan sahibi |
| Yayın kararı | Yayın kapısı olarak değerlendirin; düzeltme veya açık risk kabulü gerekir. |
Açıklama
Yerel eklentileri değişebilir, kullanıcı yazabilir veya uzak konumlardan yükleyen çalışma zamanı kancaları ya da yol ayarlarını tespit eder.
Neden önemli?
Sembol bilgisi, model paketinin sadece ağırlık taşımadığını ve çalışma zamanı davranışı içerdiğini gösterebilir.
Ne zaman tetiklenir?
Sentinel bu kuralı Semboller kategorisinde şu kanıtı gördüğünde tetikler: Yükleme yolu kullanıcı yazabilir dizin, uzak URL veya sabitlenmemiş eklenti konumu içerir. Bulgu; dosya adı, üst veri, opcode, AST düğümü veya manifest alanı gibi yeniden üretilebilir kanıtla raporlanmalıdır.
Kanıt biçimi
Yükleme yolu kullanıcı yazabilir dizin, uzak URL veya sabitlenmemiş eklenti konumu içerir.
Beklenen kanıt
Rapor; etkilenen dosya veya manifest yolunu, yakalanan sinyali, kural kimliğini, önceliği, sorumluyu ve kapanışta çalıştırılacak yeniden test komutunu içermelidir.
Yanlış pozitif notu
Yanlış pozitif olasılığı orta seviyededir. Önce kaynak, beklenen kullanım ve sahip bilgisini doğrulayın; gerekirse izin listesi ekleyin ama kanıtı rapordan silmeyin.
İnceleme ve önceliklendirme
- Sorumlu: Uygulama güvenliği ve arka uç/ajan sahibi.
- Karar: Yayın kapısı olarak değerlendirin; düzeltme veya açık risk kabulü gerekir.
- Kanıt: Yükleme yolu kullanıcı yazabilir dizin, uzak URL veya sabitlenmemiş eklenti konumu içerir.
- Kapanış: sentinel sast ./src/ --rule SYM komutu temiz dönmeli.
Nasıl düzeltilir?
Yerel yükleyici yollarını imzalı dosyalara sabitleyin ve çalışma zamanında değiştirilemeyen izinler kullanın.
CLI
sentinel sast ./src/ --rule SYMPolitika örneği
rules:
SYM-NATIVE-LOAD-HOOK:
owner: "Application security and backend/agent owner"
fail_on: ["CRITICAL", "HIGH"]
retest: "sentinel sast ./src/ --rule SYM"Beklenen çıktı
SYM-NATIVE-LOAD-HOOK HIGH
Güvensiz Yerel Yükleme Kancası
Yerel yükleyici yollarını imzalı dosyalara sabitleyin.Örnek
ctypes.CDLL("./plugins/libcustom_op.so")ctypes.CDLL("/opt/eresus/signed/libcustom_op.so") # Hash verified before load.İlgili kurallar
- SYM-DANGEROUS-EXPORT: Tehlikeli Yerel Dışa Aktarım
- SYM-UNRESOLVED-ENTRYPOINT: Çözümlenemeyen Yerel Giriş Noktası
SYM-UNRESOLVED-ENTRYPOINT — Çözümlenemeyen Yerel Giriş Noktası
LOW| Kural kimliği | SYM-UNRESOLVED-ENTRYPOINT |
|---|---|
| Kategori | SYM |
| Öncelik | LOW |
| CWE | CWE-477 |
| OWASP LLM | LLM03 — Supply Chain |
| Yanlış pozitif riski | HIGH |
| Sorumlu | Uygulama güvenliği ve arka uç/ajan sahibi |
| Yayın kararı | Hijyen işi olarak planlayın; aynı örüntü büyürse politika eşiğini sıkılaştırın. |
Açıklama
Çalışma zamanı güvenlik kontrollerini bozabilecek veya geri dönüş davranışa yol açabilecek eksik ya da kullanımdan kalkmış yerel sembolleri raporlar.
Neden önemli?
Sembol bilgisi, model paketinin sadece ağırlık taşımadığını ve çalışma zamanı davranışı içerdiğini gösterebilir.
Ne zaman tetiklenir?
Sentinel bu kuralı Semboller kategorisinde şu kanıtı gördüğünde tetikler: Beklenen giriş noktası sembolü bulunamaz veya ABI sürümüyle uyuşmaz. Bulgu; dosya adı, üst veri, opcode, AST düğümü veya manifest alanı gibi yeniden üretilebilir kanıtla raporlanmalıdır.
Kanıt biçimi
Beklenen giriş noktası sembolü bulunamaz veya ABI sürümüyle uyuşmaz.
Beklenen kanıt
Rapor; etkilenen dosya veya manifest yolunu, yakalanan sinyali, kural kimliğini, önceliği, sorumluyu ve kapanışta çalıştırılacak yeniden test komutunu içermelidir.
Yanlış pozitif notu
Yanlış pozitif olasılığı yüksektir. Bulgu politika ayarı için değerlidir; yayın kararı vermeden önce sahip incelemesi, örnek dosya ve yeniden test sonucu isteyin.
İnceleme ve önceliklendirme
- Sorumlu: Uygulama güvenliği ve arka uç/ajan sahibi.
- Karar: Hijyen işi olarak planlayın; aynı örüntü büyürse politika eşiğini sıkılaştırın.
- Kanıt: Beklenen giriş noktası sembolü bulunamaz veya ABI sürümüyle uyuşmaz.
- Kapanış: sentinel sast ./src/ --rule SYM komutu temiz dönmeli.
Nasıl düzeltilir?
Yerel çalışma zamanı ABI ve eklenti sürümlerini uyumlu tutun, eksik sembol durumunda güvenli hata verin.
CLI
sentinel sast ./src/ --rule SYMPolitika örneği
rules:
SYM-UNRESOLVED-ENTRYPOINT:
owner: "Application security and backend/agent owner"
fail_on: ["CRITICAL", "HIGH"]
retest: "sentinel sast ./src/ --rule SYM"Beklenen çıktı
SYM-UNRESOLVED-ENTRYPOINT LOW
Çözümlenemeyen Yerel Giriş Noktası
Yerel çalışma zamanı ABI ve eklenti sürümlerini uyumlu tutun.Örnek
ctypes.CDLL("./plugins/libcustom_op.so")ctypes.CDLL("/opt/eresus/signed/libcustom_op.so") # Hash verified before load.İlgili kurallar
- SYM-DANGEROUS-EXPORT: Tehlikeli Yerel Dışa Aktarım
- SYM-NATIVE-LOAD-HOOK: Güvensiz Yerel Yükleme Kancası