三款商场化源代码审计工具对比

nqkk58

随着互联网的飞速发展，各样网络应用层出不穷，网络应用已然作为人们生活必不可少的一部分，在大众享受网络应用给人们带来便利的同期，安全问题频繁出现，信息泄密、业务中断、敲诈勒索等安全事件屡见不鲜，怎样保准互联网的安全作为了一个重要的专题。

近年来，大部分安全问题来自于应用层安全，应用层的安全问题重点由软件源代码中的安全缺陷所引起。相关源代码安全的科研越来越多，源代码安全作为认识决信息安全问题的一个重要方向，亦是信息安全中的一个新兴行业。

在研发周期引入代码检测处理安全问题的思路起始被非常多企业所认可。源代码检测属于程序分析行业，需要拥有关联行业的技术贮存，非常多传统的安全厂商都无关联的商场化技术制品。网上有非常多开源的审计工具，但检测能力、检测精度较差，本文结合数年对源代码检测制品的认识，介绍三款较为成熟的商场化源代码检测制品。

1、Fortify SCA

Fortify Software机构是一家总部位置于美国硅谷，致力于供给应用软件安全研发工具和管理方法的厂商。Fortify为应用软件研发组织、安全审计人员和应用安全管理人员供给工具并确立最佳的应用软件安全实践和策略，帮忙她们在软件研发生命周期中花最少的时间和成本去识别和修复软件源代码中的安全隐患。

Fortify SCA是一个静态的、白盒的软件源代码安全测试工具，它经过内置的五大重点分析引擎：数据流、语义、结构、掌控流、配置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查询，从而将源代码中存在的安全漏洞扫描出来，并给予整理报告。扫描的结果中不仅包含仔细的安全漏洞的信息，还会有关联的安全知识的说明，以及修复意见的供给。

Fortify SCA支持Java,JSP,ASP.NET,C#,VB.NET,C,C++,COBOL,ColdFusion,

Transact-SQL,PL/SQL,JavaScript/Ajax,Classic,ASP,VBScript,VB6,PHPjava，jsp多种语言，600多种危害类型，支持CWE/OWASP国际主流标准，交付形态为纯软件。

2、Checkmarx CxSuite

Checkmarx 是以色列的一家高科技软件机构。它的制品CheckmarxCxSuite专门设计为识别、跟踪和修复软件源代码上的技术和规律方面的安全危害。首创了以查找语言定位代码安全问题，其采用独特的词汇分析技术和CxQL专利查找技术来扫描和分析源代码中的安全漏洞和弱点。

Checkmarx CxSuite的扫描结果能够以静态报表形式展示，亦能够经过能够对软件安全漏洞和质量缺陷在代码的运行时的数据传递和调用图跟踪的代码缺陷的全过程，同期还能够供给对安全漏洞和质量缺陷进行修复供给指点意见。亦能够对结果进行审计，从而消除误报。

Checkmarx CxSuite支持JAVA、ASP.NET（C#、VB.NET）、JavaScript、Jscript、C/C++、APEX等语言，500多种危害类型，支持CWE/OWASP国际主流标准，交付形态为纯软件。

3、360代码卫士

360代码卫士是360企业安全集团基于数年源代码安全实践经验推出的新一代源代码安全检测处理方法，包含源代码缺陷检测、合规检测、溯源检测三大检测功能，同期360代码卫士还可实现软件安全研发生命周期管理，与企业已有代码版本管理系统、缺陷管理系统、构建工具等无缝对接，将源代码检测融入企业研发流程，实现软件源代码安全目的管理、自动化检测、差距分析、Bug修复跟踪等功能，帮忙企业以最小代价创立代码安全保证体系并落地实施，构筑信息系统的“内建安全”。

代码卫士日前支持Windows、Linux、Android、Apple iOS、IBM AIX等平台上的代码安全检测，支持的编程语言涵盖C/C++/C#

/Objective-C/Java/JSP/JavaScript/PHP/Python/Cobol等主流语言。在软件代码缺陷检测方面，代码卫士支持24大类，700多个小类代码安全缺陷的检测，兼容国际CWE、ISO/IEC 24772、OWASP Top 十、SANS Top 25等标准和最佳实践；在软件编码合规检测方面，代码卫士可支持US CERT C/C++/Java安全编码规范的检测，并可按照用户需要进行灵活定制；在开源代码溯源检测方面，代码卫士可支持80000多个开源代码模块识别，28000多个开源代码漏洞的检测。

4、对比分析

三大检测工具是日前为止源代码检测行业的领军制品，对比状况如下：

这三款静态源代码扫描工具都有其各自特殊，SCA支持的语言多达20多种，基本上涵盖了绝大都数的应用，拥有相当广泛的适用性，但同期亦使得其价格非常昂贵；CxSuite支持的语言包含平常Web应用的语言，适用范围基本上包含了大部分的应用，其运用独创的语言来自定义规则非常有特殊，价格较之SCA有必定的优良；360代码卫士是国内首款源代码审计商场化制品，检测能力多元化，可低成本融入研发流程，更适合企业用户的需要，性价比很高。值得一提的是，随着国内信息安全制品“自主、可控”原则的推广，更加多的企业会倾向于本地服务更好的国内源代码审计制品。