三款商业化源代码审计工具对比

随着互联网的飞速发展,各种网络应用层出不穷,网络应用已经成为人们生活必不可少的一部分,在大家享受网络应用给人们带来便利的同时,安全问题频繁发生,信息泄露、业务中断、敲诈勒索等安全事件屡见不鲜,如何保证互联网的安全成为了一个重要的话题。

近年来,大部分安全问题来自于应用层安全,应用层的安全问题主要由软件源代码中的安全缺陷所导致。有关源代码安全的研究越来越多,源代码安全成为了解决信息安全问题的一个重要方向,也是信息安全中的一个新兴领域。

在开发阶段引入代码检测解决安全问题的思路开始被很多企业所认可。源代码检测属于程序分析领域,需要具有相关领域的技术储备,很多传统的安全厂商都没有相关的商业化技术产品。网上有很多开源的审计工具,但检测能力、检测精度较差,本文结合多年对源代码检测产品的了解,介绍三款较为成熟的商业化源代码检测产品。

1、 Fortify SCA

Fortify
Software公司是一家总部位于美国硅谷,致力于提供应用软件安全开发工具和管理方案的厂商。Fortify为应用软件开发组织、安全审计人员和应用安全管理人员提供工具并确立最佳的应用软件安全实践和策略,帮助他们在软件开发生命周期中花最少的时间和成本去识别和修复软件源代码中的安全隐患。

Fortify
SCA是一个静态的、白盒的软件源代码安全测试工具,它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的提供。

Fortify SCA支持Java,JSP,ASP.NET,C#,VB.NET,C,C++,COBOL,ColdFusion,

Transact-SQL,PL/SQL,JavaScript/Ajax,Classic,ASP,VBScript,VB6,PHPjava,jsp多种语言,600多种风险类型,支持CWE/OWASP国际主流标准,交付形态为纯软件。

2、Checkmarx CxSuite

Checkmarx
是以色列的一家高科技软件公司。它的产品CheckmarxCxSuite专门设计为识别、跟踪和修复软件源代码上的技术和逻辑方面的安全风险。首创了以查询语言定位代码安全问题,其采用独特的词汇分析技术和CxQL专利查询技术来扫描和分析源代码中的安全漏洞和弱点。

Checkmarx CxSuite的扫描结果可以以静态报表形式展示,也可以通过可以对软件安全漏洞和质量缺陷在代码的运行时的数据传递和调用图跟踪的代码缺陷的全过程,同时还可以提供对安全漏洞和质量缺陷进行修复提供指导建议。也可以对结果进行审计,从而消除误报。

Checkmarx CxSuite支持JAVA、ASP.NET(C#、VB.NET)、JavaScript、Jscript、C/C++、APEX等语言,500多种风险类型,支持CWE/OWASP国际主流标准,交付形态为纯软件。

3、360代码卫士

360代码卫士是360企业安全集团基于多年源代码安全实践经验推出的新一代源代码安全检测解决方案,包括源代码缺陷检测、合规检测、溯源检测三大检测功能,同时360代码卫士还可实现软件安全开发生命周期管理,与企业已有代码版本管理系统、缺陷管理系统、构建工具等无缝对接,将源代码检测融入企业开发流程,实现软件源代码安全目标管理、自动化检测、差距分析、Bug修复追踪等功能,帮助企业以最小代价建立代码安全保障体系并落地实施,构筑信息系统的“内建安全”。

代码卫士目前支持Windows、Linux、Android、Apple iOS、IBM
AIX等平台上的代码安全检测,支持的编程语言涵盖C/C++/C#/Objective-C/Java/JSP/JavaScript/PHP/Python/Cobol等主流语言。在软件代码缺陷检测方面,代码卫士支持24大类,700多个小类代码安全缺陷的检测,兼容国际CWE、ISO/IEC
24772、OWASP Top 10、SANS Top 25等标准和最佳实践;在软件编码合规检测方面,代码卫士可支持US CERT
C/C++/Java安全编码规范的检测,并可根据用户需求进行灵活定制;在开源代码溯源检测方面,代码卫士可支持80000多个开源代码模块识别,28000多个开源代码漏洞的检测。

4、对比分析

三大检测工具是目前为止源代码检测领域的领军产品,对比情况如下:

这三款静态源代码扫描工具都有其各自特色,SCA支持的语言多达20多种,基本上涵盖了绝大多数的应用,具有相当广泛的适用性,但同时也使得其价格非常昂贵;CxSuite支持的语言包括常见Web应用的语言,适用范围基本上包括了大部分的应用,其使用独创的语言来自定义规则非常有特色,价格较之SCA有一定的优势;360代码卫士是国内首款源代码审计商业化产品,检测能力多元化,可低成本融入开发流程,更适合企业用户的需求,性价比很高。值得一提的是,随着国内信息安全产品“自主、可控”原则的推广,更多的企业会倾向于本地服务更好的国内源代码审计产品。

作者:佚名
来源:51CTO

时间: 2024-07-30 07:41:16

三款商业化源代码审计工具对比的相关文章

浅析站长常用的三款长尾关键词挖掘工具的区别

对于关键词的挖掘方法大家常用的可能是只是简单的通过百度指数.搜索下拉框.和相关搜索吧.其实现在站长如果还只是简单的依靠这三个方法来挖掘关键词的话,那挖掘到的关键词相对而言,优化难度比较大,竞争也是非常激烈,毕竟用这三种来确定网站关键词的站长太多了,使用的人多了自然竞争就大了.而对于挖掘长尾关键词来说,如果只是通过这三个方法显然是最难挖掘出精准性强的长尾关键词,毕竟下拉框显示的数量有限,而相关搜索中也是有数量的限制.那么咱们应该用什么样的工具来进行深度挖掘呢?今天笔者谈谈如何借助工具来挖掘长尾关键

8款u盘修复工具对比介绍

  1.金士顿u盘修复工具 金士顿u盘修复工具可以改写u盘主控芯片数据实现u盘量产还原修复的功效. 用户只需要将u盘插入计算机,使用金士顿u盘修复软件扫描修复和量产即可恢复.原理是重写和还原u盘的主控芯片数据,让自己的u盘变成全新的刚出厂的模样. 2.mformat(U盘格式化软件) 据说是一款十分不错的U盘修复工具,可以修复U盘能检测到不能读取,能访问但字节为0,或者U盘容量无故变小等问题可以利该款工具进行格式化恢复.当你的MP3.U盘等移动存储设备遇到无法读取时,可以试试这个小工具. 3.P

网上最热的三款完美Vista激活工具 下载_常用工具

OEM BIOS Emulation Toolkit - 最完美Vista激活工具 用法:关闭UAC,adminstrator权限运行.1.安装Windows Vista,不用输入序列号.MSDN/Retail/OEM 版均可,推荐MSDN/Retail版.2.运行OEMTOOL.EXE,选择要模拟的OEM BIOS信息,按按钮.或则不运行OEMTOOL.EXE,右键点击ROYAL.INF文件,在弹出的菜单选'Install'.这种方法只能按照华硕的BIOS信息.3.重起机器.4.安装OEM证书

锤子 小米3 华为P7三款顶级国内手机深度对比评测

虽然雷军的小米3S.小米4迟迟不肯露面,但老罗的锤子手机T1稍微弥补了消费者们的期待之心.与小米的低调不同,老罗的锤子手机T1赢得了消费者们的极大关注,而锤子手机也打出全球第二好用的口号,那么锤子手机真那么优秀吗?笔者带来了锤子手机T1与小米3/华为P7的对比评测,看看全球第二是不是浪得虚名?锤子手机T1/小米3对比评测首先我们来看看锤子手机T1与小米3的对比评测,以下是锤子手机T1与小米3的具体配置情况.说到外观设计,小米3的问世得到非议无数,就其原因并非它毫无细节可言,也不是没有细心雕琢.只

Mac中的三款词典翻译工具软件横向对比

相对于windows平台的大众化,Mac平台由于其用户群体高端.整体风格简洁清爽.开发系统封闭等特点,用户选择软件的关注点也不同于 windows平台,软件品牌份额及市场格局与windows平台下大相径庭.那么,众多Mac平台的翻译软件品牌中,哪款的表现更出色?哪款更适合 Mac平台下的使用? 作为资深的Mac用户,小编特地挑选了两款目前比较流行的Mac端词典软件,再加上新推出的有道词典Mac版,来进行一次横向比较,方便大家更好地了解它们各自的优缺点,做出自己的选择. 当然,崇尚个性的Mac用户

[转载]三款SDR平台对比:HackRF,bladeRF和USRP

这篇文章是 Taylor Killian 13年8月发表在自己的博客上的.他对比了三款平价的SDR平台,认为这三款产品将是未来一年中最受欢迎的SDR平台.我觉得这篇文章很有参考价值,简单翻译一份转过来.原文在这里:http://www.taylorkillian.com/2013/08/sdr-showdown-hackrf-vs-bladerf-vs-usrp.html 翻起来才发现,太长了.觉得这么长就没必要翻译了,不符合快速阅读的习惯,深度阅读的人显然应该直接看原文.但是既然开了个头,就翻

三款常见加速软件对比实测

在如今快节奏时代,使用手机看电影视频随处可见,但是在观看过程中那些恼人的卡顿.视频缓冲画面非常令人讨厌,其实这个问题是可以通过加速软件解决的,而这也成为了视频迷们的"救命草",现在我们就将通过当前三款常见手机加速软件360清理大师.猎豹清理大师.一键清理大师进行对比实测,为大家选择视频加速软件提供参考. 一.测试前准备 测试机型:三星N7100(Note2) 测试内容:主要对三款参测产品是否有视频加速专属功能.视频启动过程中加速效果.视频开始后加速效果三方面进行实测. 测试工具:FPS

三款主流服务器集群软件对比分析

简单的说,集群(cluster)就是一组计算机,它们作为一个整体向用户提供一组网络资源.这些单个的计算机系统就是集群的节点(node).一个理想的集群是,用户从来不会意识到集群系统底层的节点,在他们看来,集群是一个系统,而非多个计算机系统.并且集群系统的管理员可以随意增加和删改集群系统的节点. 下面就服务器常用的三款集群软件做一个对比分析介绍: 1.ROSE HA 服务器集群软件 在双机热备的架构中,除了要考虑切换时间外,要根据每个系统的作业环境,包括网路系统是单网或是双网,数据库的安装和作业内

简单介绍三款常用的建站工具

建站软件有很多,但是网站建设大致分为手工建站和自助建站.简单的说,手工建站就是根据自己的需求去设计和开发网站:自助建站就是基于已经成形的网站系统框架,只要将内容填充到框架中,一个网站就可以基本完成.但不管怎么说他们都需要一定的软件做基础! 下面简单介绍三款常用的建站工具 第一款:Dreamweaver(手工建站工具) Dreamweaver软件和Fireworks,flash合称网页三剑客,他是由美国软件开发商Macromedia公司研发并推出的一款可视化网站开发工具. 后来Macromedia