Skip to content

Releases: Feysh-Group/corax-community

corax-java-cli-community-2.8

09 Apr 04:43
@notify-bibi notify-bibi
v2.8
59c6f31
Compare
Choose a tag to compare
corax-java-cli-community-2.8 Latest
Latest

Change log:

  • 新特性:增加标准的OSI认证 License LGPL v2.1 保障用户/公司内部等小范围群体拥有自由使用本软件的权力,与原许可证共存的双许可证模式(原许可证条例优先)
  • 新特性:引入 CPG 程序分析框架支持 - 但受框架效率较低原因,后续再增加基于该框架的规则检查器开源示例
  • 变更:所有报告输出使用 feysh.java.name.CheckType 名作为报告的 checker name,替换原有的 cwe-id.CheckType
  • 变更:spring data jpa 框架不存在sql拼接注入,移除JpaAnnotationSqlSinks检查器
  • 修复:MyBatis 框架分析报错和漏报问题
  • 修复:Spring 框架解析合成时候的dummy method初始化对象引用恒为空指针导致的漏报问题
  • 修复:Spring 框架建模漏报问题,修复和补充taint规则
  • 修复:完善漏洞库版本区间判断(jackson、ooxml和log4j),降低误报
  • 修复:改进分析引擎,修复了若干崩溃和错误,增加了稳定性和正确性

corax-java-cli-community-2.8.zip 中包含编译好的规则配置和分析引擎二进制jar

SHA256: 23bd34e13286cdb5d250e8358744cbd2f8fee326752deb0f1c570cbc002e40a4

Assets 3

corax-java-cli-community-2.6

15 Jan 10:42
@notify-bibi notify-bibi
v2.6
3c33a57
Compare
Choose a tag to compare
corax-java-cli-community-2.6

change log:

  • 完全重构 MyBatis 框架适配部分,支持该框架的所有语法特性
  • 完全重构 Spring 框架的动态解析生成 taint 配置
  • 新增规则cwe-89.MybatisSqlInjectionSinkHint,可以报告所有的 mybatis sql 注入 sink 点和对应的完整静态 sql 语句,辅助安全人员分析
  • 新增规则cwe-22.ZipSlip检查压缩文档处理时候的恶意文件覆盖漏洞
  • 扫描的源码等资源文件支持放在压缩文件中,无需解压,但是需要 --source-path 指向改源码zip包
  • 更多的分析参数检查,避免输入和输出重叠导致分析变慢
  • 设计接口,解决AIAnalysisApi不能支持直接依赖 PreAnalysisApi 的分析结果,并且使用不安全的全局变量传递以来数据问题。AIAnalysisApi可以使用PreAnalysisApi,并且增加同步等待分析结果功能
  • PreAnalysisApi增加文件过滤功能,可自定义配置
  • 新增参数 --c2s-mode ClassNoPackageLayout,支持源码文件和class文件没有按照包名放在对应结构文件夹中的场景
  • 一些插件和检查器配置上的调整,简化检查器管理,规范代码
  • 修复规则 cwe-330.PredictRandom 的误报
  • 修复若干错误,增加了稳定性

SHA256: f9405e8e942a614e88971ef52c0afcd17a522c65132dd805d99a839ca0711652

Assets 3

corax-java-cli-community-2.5

08 Dec 08:27
@notify-bibi notify-bibi
v2.5
01f998a
Compare
Choose a tag to compare
corax-java-cli-community-2.5

change log:

  • feat: 我们在之前开放6个规则的基础上,又向社区开放了21个和安全相关且最受关注的Java漏洞规则,详见 feature_diff.md 查看新增规则和测试集表现
  • 减少受内存墙影响导致的漏报,可以增加参数 --strict 参数关闭所有可能导致随机性的 limit ,但是不保证分析不会OOM,特别是低内存机器上
  • 修复因路径组合导致的超大size报告生成
  • sarif默认使用中文输出,且可以通过 --preferred-lang 指定输出语言优先级
  • 修复若干错误,增加了稳定性

SHA256: acacfc44cd28503b1274f3549e0343838468d42fd1752f72ea7a305fb0ce2126

Assets 3

corax-java-cli-community-2.4.1

24 Nov 12:05
@notify-bibi notify-bibi
v2.4.1
463c4ef
Compare
Choose a tag to compare
corax-java-cli-community-2.4.1

change log:

  • 修复若干错误,增加了稳定性
  • 提高了整体的分析效率
  • 各种细节上的改进
  • 分类功能改进,详见 link
  • Docker 支持 pull#5

SHA256: 4c7fe8075a43b0dc398a55dcae827ffdc9f033cd4ec37d2caa67e681757c26a1

Assets 3

corax-java-cli-community-2.3

13 Oct 10:00
@notify-bibi notify-bibi
v2.3
8849328
Compare
Choose a tag to compare
corax-java-cli-community-2.3

change log:

  1. Fix 报告数量具有随机性的 BUG
    如果需要进一步地解决随机问题,可以在 {user.home}/.corax/settings.properties 加上一行 dataFlowInterProceduralCalleeTimeOut=-1 关闭超时机制,才能彻底解决随机问题,但是可能出现分析耗时较长的问题(也可以将 timeout 改大一点,牺牲一点点分析完整性的同时保证报告效率(或避免可能的卡死bug,有请反馈并加上测试用例),默认15000 (15秒))
  2. Multi-threaded algorithm optimizations
  3. CLI optimizations and bug fixes

SHA256: c34ab7d7ca7cc3cbc4fd5e9fb2895a972f0be8d755a99fab547477ca692c5517

Assets 3

corax-java-cli-community-2.2

28 Sep 09:16
@notify-bibi notify-bibi
v2.2
5dcfc54
Compare
Choose a tag to compare
corax-java-cli-community-2.2 Pre-release
Pre-release

change log:

  • feature: taint and analyse coverage report support (option: --enable-coverage)
  • fix: mybatis mapper xml pattern match issue
  • fix: xml parse crash by xpp3 library
  • improve some taint rules
  • improve source locator speed

SHA256: 07456AD059C6C40B525A51E9F48C8D260DA8ED3FAEA85817A113FE2D8970320A

Assets 3

corax-java-cli-community-2.1-snapshot

06 Sep 10:28
@notify-bibi notify-bibi
v2.1-snapshot
f9dd77b
Compare
Choose a tag to compare
corax-java-cli-community-2.1-snapshot
  1. 修复一些路径错误
  2. 解决部分漏报误报问题
  3. 兼容支持 flowdroid

sha256sum: 670dbfe0c5251ba3ec7b664135681fc637cce61715ca33df86b7c082a8e0b93c

Assets 3

corax-java-cli-community-2.0

30 Aug 16:23
@notify-bibi notify-bibi
v2.0
5f84bc4
Compare
Choose a tag to compare
corax-java-cli-community-2.0

SHA256: 4CA01C9088A4F5F878275C33D286E4A935D49D863AF540A2E9B31D758B9D97E6

Assets 3