四款优秀的源代码扫描软件简介

电脑杂谈  发布时间:2019-09-10 23:05:15  来源:网络整理

源代码审计工具_代码审计规则_代码审计工具

一、DMSCA-企业级静态代码扫描分析服务系统

端玛企业级静态源代码扫描分析服务系统(英文全称:DMSCA)是一个独特的源代码安全漏洞、质量缺陷和逻辑缺陷扫描分析服务系统。该平台可用于识别、跟踪和修复在源代码中的科技和逻辑上的弊端,让工具研发团队及检测团队迅速、准确定位源代码中的安全漏洞、质量和业务逻辑缺陷等难题,并根据提供的客观的恢复建议,快速清除。提高硬件产品的可靠性、安全性。同时兼容并超过国际、国内相关产业的合规要求。 DMSCA是端玛科技在多年静态分析科技的累积及开发努力的基础上,联合多所国内及国际著名高校、专家共同探讨中国静态分析科技的优缺点后、结合当前研发语言的科技状况、源代码缺陷的演进势态和行业后,研发出的新一代源代码企业级分析方案从而从成因上辨别、跟踪和修复源代码技术和逻辑上的弊端。该方案消除了传统静态分析软件误报率(False Positive)高和漏报(False Negative)的缺陷。打断了美国产品在低端静态分析产品方面的寡头,形成美国自主可控的顶级源代码安全和品质扫描产品,并支持国内自己的源代码检测方面的国家标准(GB/T34944-2017 Java、GB/T34943-2017 C/C++、GB/T34946-2017 C#),致力于为在美国的企业提供更直接,更个性化的系统定制和本地化服务。 DMSCA支持主流编程语言安全漏洞及质量缺陷扫描和探讨,支持客户化平台图标、报告、规则自定义,以满足用户特定安全思路、安全标准和开发运营环境集成的还要。产品从面世,就取得了美国全球很多用户的追捧,这些顾客包括但不限于银行、支付、保险、电力、能源、电信、汽车、媒体娱乐、软件、服务和军事等产业的财富1000企业。

1、系统架构

2、系统组件

3、产品界面

代码审计规则_源代码审计工具_代码审计工具

4、集成SDLC

五 、主要用途及特点

操作系统独立。代码扫描不依赖于特定操作系统,只需在在企业范围内推进一台扫描服务器,就可以扫描其他操作系统开发环境下的代码。

编译器独立、开发环境独立,搭建测试环境简洁快速且统一。由于采取了新颖的虚拟编译器技术,代码扫描不需要依赖编译器和研发环境,无需为每种研发语言的代码调试编译器和检测环境,只应该借助客户端、浏览器、开发环境集成软件注册到we服务器。

工具学习、培训和使用的费用少,最小化影响开发进度。由于编译器、操作系统和研发环境独立,使用者无需去学习每种系统下怎么去编译代码,调试代码、如何扫描检测代码,无需去看每种系统下昂贵的使用手则。因为端玛代码扫描平台服务只应该提供源代码即可扫描,并给出精确的扫描结果。

低误报。 DMSCA企业服务在扫描过程中全面剖析应用的所有模式和变量。准确地剖析结果,验证可能的风险是否真正引起安全难题,自动排除噪音信息,扫描结果几乎就是最终的预测结果,误报率(False Positive)几乎为零。极大的增加了审计分析的人工劳动费用,极大节省了代码审计的时间,为研发团队获得更多的开发时间。

安全漏洞覆盖面广且全面 (低漏报)。数以百计的安全漏洞检查适合任于何组织,支持最新的OWASP 、CWE、SANS、PCI、SOX、GDPR、等国际权威组织对硬件安全漏洞的定义源代码审计工具,同时支持国内国家源代码安全测试标准(GB/T34944-2017 Java、GB/T34943-2017 C/C++、GB/T34946-2017 C#)。漏洞覆盖面广,安全检测全面,其自定义查询语言可以让客户灵活制定必须的代码规则,极大的丰富组织特定的代码安全和代码质量的还要。

代码审计工具_代码审计规则_源代码审计工具

安全查询规则清晰且完全公开推动。规则定义清晰,并完全公开所有规则的定义和推动让客户明白清楚软件怎么去定义风险、如何去查找风险,透明各种语言风险。让客户了解软件终于做了这些工作,没有做哪些该工作。而不是给客户一个黑匣子,用户能够知道软件的细节和弊端,无法在代码审计过程中避免软件的风险(比如漏报和误报),比如运用人工以及其他方式查找软件不能定位的难题。

安全规则自定义简单高效。由于公开了所有规则实现的细节和词汇,用户可以快速设置规则以及参考已有的规则语句自定义自己应该规则,规则学习,定义简单高效。能迅速推动组织工具安全策略。

业务逻辑和架构风险调查。端玛代码扫描平台服务可以对所有扫描代码的任意一个代码元素(词汇)做动态的数据制约、控制影响和业务逻辑研究和调查。分析代码逻辑和构架特有的安全风险,并最终定义规则精确查找哪些风险。这是迄今唯一能动态预测业务逻辑和工具架构的静态技术。

攻击模式的可视化,并以3D形式呈现。每一个安全漏洞的防御体系和模式完全展现起来,以3D图形的方法显示源代码审计工具,便于安全难题调查和探讨。

支持主流语言:Java、JSP、JavaSript、VBSript、C#、ASP.net、VB.Net、VB6、C/C++、ASP、PHP、Python、Swift、Ruby、Perl、PL/SQL、Android、OWASP ESAPI、MISRA、obxxxxjective-C (iOS)、API及第三方语言。

支持的主流框架(frxxxxamework):Struts、Spring、Ibatis、GWT、Hiberante、Enterprise Libraries、 Telerik、ComponentArt、Infragistics、FarPoint、Ibatis.NET、Hibernate.Net [*]、MFC。可对于用户特定框架快速定制支持。

服务独立,全面的队伍扫描支持。作为服务器运行。开发员工、管理人员和审计人员都可以凭各自的身份凭证从任何一处登录服务器,进行代码扫描、安全审计、团队、用户和扫描任务管理。

高度自动化扫描任务。自动集成版本管理(SubVersion、TFS、Git、其它)、SMTP邮件服务器和Windows账户管理,实现手动扫描代码升级、自动扫描、自动报警和自动邮件通知等。

代码审计工具_源代码审计工具_代码审计规则

支持多任务排队扫描、并发扫描、循环扫描、按时间调度扫描,提高团队扫描效率。

云服务推动:支持跨Internet实现源代码安全扫描“云服务”。

支持最佳修复位置建议 ,图形显示最佳修复点。

支持客户化平台定制:定规则、定思路、定界面、定报告、定步骤、定完善及接口集成。

二、VeraCode静态源代码扫描分析服务系统

Veracode静态源代码分析服务系统是中国商业运营最好的平台,全球数千家 软件技术公司都在使用其服务看到工具安全漏洞、质量缺陷。

支持很多主流的开发语言和框架:

代码审计规则_代码审计工具_源代码审计工具

Java

.NET

jaxxxxvascxxxxript & Typescxxxxript (including AngularJS Node.js and jQuery)

Python Perl PHP Ruby on Rails Scala ColdFusion Classic ASP

iOS (obxxxxjective-C and Swift) Android (Java) PhoneGap Cordova Titanium Xamarin

C/C++ (Windows RedHat Linux OpenSUSE Solaris)

COBOL RPG Visual Basic 6

三、Fortify Scan

Fortify SCA是一个静态的、白盒的软件源代码安全检测软件。它借助内置的五大主要探讨引擎:数据流、语义、结构、控制流、配置流等对应用工具的源代码进行静态分析,分析的过程中与它特有的硬件安全漏洞规则进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给于整理报告。

四、Checkmarx

Checkmarx的CxEnterprise静态源代码安全漏洞扫描和管控方案是一款非常全面的、综合的源代码安全扫描和管控方案,该细则提供客户、角色和团队管理、权限管控、扫描结果管理、扫描调度和自动化管理、扫描资源管控、查询规则管理、扫描策略管理、更新管理、报表管理等多种企业环境下实行源代码安全扫描和管控功能。


本文来自电脑杂谈,转载请注明本文网址:
http://xinshanjie.com/a/jisuanjixue/article-122446-1.html

    相关阅读
    发表评论  请自觉遵守互联网相关的政策法规,严禁发布、暴力、反动的言论

    • 汪极
      汪极

      阿拉斯加12海里范围内玩一玩

    • 吴铃珉
      吴铃珉

      在中国想要政商分离不可能

    • 崔曙
      崔曙

      激进一点的买理财产品宜定盈里一年是1000块

    热点图片
    拼命载入中...