三款商场化源代码审计工具对比
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">随着互联网的飞速发展,<span style="color: black;">各样</span>网络应用层出不穷,网络应用<span style="color: black;">已然</span><span style="color: black;">作为</span>人们生活必不可少的一部分,在<span style="color: black;">大众</span>享受网络应用给人们带来便利的<span style="color: black;">同期</span>,安全问题频繁<span style="color: black;">出现</span>,信息<span style="color: black;">泄密</span>、业务中断、敲诈勒索等安全事件屡见不鲜,<span style="color: black;">怎样</span><span style="color: black;">保准</span>互联网的安全<span style="color: black;">作为</span>了一个重要的<span style="color: black;">专题</span>。</p><p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">近年来,大部分安全问题来自于应用层安全,应用层的安全问题<span style="color: black;">重点</span>由软件源代码中的安全缺陷所<span style="color: black;">引起</span>。<span style="color: black;">相关</span>源代码安全的<span style="color: black;">科研</span>越来越多,源代码安全<span style="color: black;">作为</span><span style="color: black;">认识</span>决信息安全问题的一个重要方向,<span style="color: black;">亦</span>是信息安全中的一个新兴<span style="color: black;">行业</span>。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">在<span style="color: black;">研发</span><span style="color: black;">周期</span>引入代码检测<span style="color: black;">处理</span>安全问题的思路<span style="color: black;">起始</span>被<span style="color: black;">非常多</span>企业所认可。源代码检测属于程序分析<span style="color: black;">行业</span>,需要<span style="color: black;">拥有</span><span style="color: black;">关联</span><span style="color: black;">行业</span>的技术<span style="color: black;">贮存</span>,<span style="color: black;">非常多</span>传统的安全厂商都<span style="color: black;">无</span><span style="color: black;">关联</span>的<span style="color: black;">商场</span>化技术<span style="color: black;">制品</span>。网上有<span style="color: black;">非常多</span>开源的审计工具,但检测能力、检测精度较差,本文结合<span style="color: black;">数年</span>对源代码检测<span style="color: black;">制品</span>的<span style="color: black;">认识</span>,介绍三款较为成熟的<span style="color: black;">商场</span>化源代码检测<span style="color: black;">制品</span>。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">1、Fortify SCA</strong></p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">Fortify Software<span style="color: black;">机构</span>是一家总部<span style="color: black;">位置于</span>美国硅谷,致力于<span style="color: black;">供给</span>应用软件安全<span style="color: black;">研发</span>工具和管理<span style="color: black;">方法</span>的厂商。Fortify为应用软件<span style="color: black;">研发</span>组织、安全审计人员和应用安全管理人员<span style="color: black;">供给</span>工具并确立最佳的应用软件安全实践和策略,<span style="color: black;">帮忙</span><span style="color: black;">她们</span>在软件<span style="color: black;">研发</span>生命周期中花最少的时间和成本去识别和修复软件源代码中的安全隐患。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">Fortify SCA是一个静态的、白盒的软件源代码安全测试工具,它<span style="color: black;">经过</span>内置的五大<span style="color: black;">重点</span>分析引擎:数据流、语义、结构、<span style="color: black;">掌控</span>流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、<span style="color: black;">查询</span>,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中<span style="color: black;">不仅</span><span style="color: black;">包含</span><span style="color: black;">仔细</span>的安全漏洞的信息,还会有<span style="color: black;">关联</span>的安全知识的说明,以及修复意见的<span style="color: black;">供给</span>。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">Fortify SCA支持Java,JSP,ASP.NET,C#,VB.NET,C,C++,COBOL,ColdFusion,</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">Transact-SQL,PL/SQL,JavaScript/Ajax,Classic,ASP,VBScript,VB6,PHPjava,jsp多种语言,600多种<span style="color: black;">危害</span>类型,支持CWE/OWASP国际主流标准,交付形态为纯软件。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">2、Checkmarx CxSuite</strong></p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">Checkmarx 是以色列的一家高科技软件<span style="color: black;">机构</span>。它的<span style="color: black;">制品</span>CheckmarxCxSuite专门设计为识别、跟踪和修复软件源代码上的技术和<span style="color: black;">规律</span>方面的安全<span style="color: black;">危害</span>。首创了以<span style="color: black;">查找</span>语言定位代码安全问题,其采用独特的词汇分析技术和CxQL专利<span style="color: black;">查找</span>技术来扫描和分析源代码中的安全漏洞和弱点。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">Checkmarx CxSuite的扫描结果<span style="color: black;">能够</span>以静态报表形式展示,<span style="color: black;">亦</span><span style="color: black;">能够</span><span style="color: black;">经过</span><span style="color: black;">能够</span>对软件安全漏洞和质量缺陷在代码的运行时的数据传递和调用图跟踪的代码缺陷的全过程,<span style="color: black;">同期</span>还<span style="color: black;">能够</span><span style="color: black;">供给</span>对安全漏洞和质量缺陷进行修复<span style="color: black;">供给</span><span style="color: black;">指点</span><span style="color: black;">意见</span>。<span style="color: black;">亦</span><span style="color: black;">能够</span>对结果进行审计,从而消除误报。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">Checkmarx CxSuite支持JAVA、ASP.NET(C#、VB.NET)、JavaScript、Jscript、C/C++、APEX等语言,500多种<span style="color: black;">危害</span>类型,支持CWE/OWASP国际主流标准,交付形态为纯软件。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">3、360代码卫士</strong></p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">360代码卫士是360企业安全集团基于<span style="color: black;">数年</span>源代码安全实践经验推出的新一代源代码安全检测<span style="color: black;">处理</span><span style="color: black;">方法</span>,<span style="color: black;">包含</span>源代码缺陷检测、合规检测、溯源检测三大检测功能,<span style="color: black;">同期</span>360代码卫士还可实现软件安全<span style="color: black;">研发</span>生命周期管理,与企业已有代码版本管理系统、缺陷管理系统、构建工具等无缝对接,将源代码检测融入企业<span style="color: black;">研发</span>流程,实现软件源代码安全<span style="color: black;">目的</span>管理、自动化检测、差距分析、Bug修复<span style="color: black;">跟踪</span>等功能,<span style="color: black;">帮忙</span>企业以最小代价<span style="color: black;">创立</span>代码安全<span style="color: black;">保证</span>体系并落地实施,构筑信息系统的“内建安全”。</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">代码卫士<span style="color: black;">日前</span>支持Windows、Linux、Android、Apple iOS、IBM AIX等平台上的代码安全检测,支持的编程语言涵盖C/C++/C#</p>/Objective-C/Java/JSP/JavaScript/PHP/Python/Cobol等主流语言。在软件代码缺陷检测方面,代码卫士支持24大类,700多个小类代码安全缺陷的检测,兼容国际CWE、ISO/IEC 24772、OWASP Top <span style="color: black;">十、</span>SANS Top 25等标准和最佳实践;在软件编码合规检测方面,代码卫士可支持US CERT C/C++/Java安全编码规范的检测,并可<span style="color: black;">按照</span>用户<span style="color: black;">需要</span>进行灵活定制;在开源代码溯源检测方面,代码卫士可支持80000多个开源代码模块识别,28000多个开源代码漏洞的检测。
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;"><strong style="color: blue;">4、对比分析</strong></p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">三大检测工具是<span style="color: black;">日前</span>为止源代码检测<span style="color: black;">行业</span>的领军<span style="color: black;">制品</span>,对比<span style="color: black;">状况</span>如下:</p>
<p style="font-size: 16px; color: black; line-height: 40px; text-align: left; margin-bottom: 15px;">这三款静态源代码扫描工具都有其各自<span style="color: black;">特殊</span>,SCA支持的语言多达20多种,基本上涵盖了绝大<span style="color: black;">都数</span>的应用,<span style="color: black;">拥有</span>相当广泛的适用性,但<span style="color: black;">同期</span><span style="color: black;">亦</span>使得其价格非常昂贵;CxSuite支持的语言<span style="color: black;">包含</span><span style="color: black;">平常</span>Web应用的语言,适用范围基本上<span style="color: black;">包含</span>了大部分的应用,其<span style="color: black;">运用</span>独创的语言来自定义规则非常有<span style="color: black;">特殊</span>,价格较之SCA有<span style="color: black;">必定</span>的<span style="color: black;">优良</span>;360代码卫士是国内首款源代码审计<span style="color: black;">商场</span>化<span style="color: black;">制品</span>,检测能力多元化,可低成本融入<span style="color: black;">研发</span>流程,更适合企业用户的<span style="color: black;">需要</span>,性价比很高。值得一提的是,随着国内信息安全<span style="color: black;">制品</span>“自主、可控”原则的推广,<span style="color: black;">更加多</span>的企业会倾向于本地服务更好的国内源代码审计<span style="color: black;">制品</span>。</p>
页:
[1]