近年来,大部分安全问题来自于运用层安全,运用层的安全问题紧张由软件源代码中的安全毛病所导致。有关源代码安全的研究越来越多,源代码安全成为理解决信息安全问题的一个主要方向,也是信息安全中的一个新兴领域。
在开拓阶段引入代码检测办理安全问题的思路开始被很多企业所认可。源代码检测属于程序剖析领域,须要具有干系领域的技能储备,很多传统的安全厂商都没有干系的商业化技能产品。网上有很多开源的审计工具,但检测能力、检测精度较差,本文结合多年对源代码检测产品的理解,先容三款较为成熟的商业化源代码检测产品。
1、Fortify SCA
Fortify Software公司是一家总部位于美国硅谷,致力于供应运用软件安全开拓工具和管理方案的厂商。Fortify为运用软件开拓组织、安全审计职员和运用安全管理职员供应工具并确立最佳的运用软件安全实践和策略,帮助他们在软件开拓生命周期中花最少的韶光和本钱去识别和修复软件源代码中的安全隐患。
Fortify SCA是一个静态的、白盒的软件源代码安全测试工具,它通过内置的五大紧张剖析引擎:数据流、语义、构造、掌握流、配置流等对运用软件的源代码进行静态的剖析,剖析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有干系的安全知识的解释,以及修复见地的供应。
Fortify SCA支持Java,JSP,ASP.NET,C#,VB.NET,C,C++,COBOL,ColdFusion,
Transact-SQL,PL/SQL,JavaScript/Ajax,Classic,ASP,VBScript,VB6,PHPjava,jsp多种措辞,600多种风险类型,支持CWE/OWASP国际主流标准,交付形态为纯软件。
2、Checkmarx CxSuite
Checkmarx 因此色列的一家高科技软件公司。它的产品CheckmarxCxSuite专门设计为识别、跟踪和修复软件源代码上的技能和逻辑方面的安全风险。创始了以查询措辞定位代码安全问题,其采取独特的词汇剖析技能和CxQL专利查询技能来扫描和剖析源代码中的安全漏洞和弱点。
Checkmarx CxSuite的扫描结果可以以静态报脸色势展示,也可以通过可以对软件安全漏洞和质量毛病在代码的运行时的数据通报和调用图跟踪的代码毛病的全过程,同时还可以供应对安全漏洞和质量毛病进行修复供应辅导建议。也可以对结果进行审计,从而肃清误报。
Checkmarx CxSuite支持JAVA、ASP.NET(C#、VB.NET)、JavaScript、Jscript、C/C++、APEX等措辞,500多种风险类型,支持CWE/OWASP国际主流标准,交付形态为纯软件。
3、360代码卫士
360代码卫士是360企业安全集团基于多年源代码安全实践履历推出的新一代源代码安全检测办理方案,包括源代码毛病检测、合规检测、溯源检测三大检测功能,同时360代码卫士还可实现软件安全开拓生命周期管理,与企业已有代码版本管理系统、毛病管理系统、构建工具等无缝对接,将源代码检测融入企业开拓流程,实现软件源代码安全目标管理、自动化检测、差距剖析、Bug修复追踪等功能,帮助企业以最小代价建立代码安全保障体系并落地履行,构筑信息系统的“内建安全”。
代码卫士目前支持Windows、Linux、Android、Apple iOS、IBM AIX等平台上的代码安全检测,支持的编程措辞涵盖C/C++/C#/Objective-C/Java/JSP/JavaScript/PHP/Python/Cobol等主流措辞。在软件代码毛病检测方面,代码卫士支持24大类,700多个小类代码安全毛病的检测,兼容国际CWE、ISO/IEC 24772、OWASP Top 10、SANS Top 25等标准和最佳实践;在软件编码合规检测方面,代码卫士可支持US CERT C/C++/Java安全编码规范的检测,并可根据用户需求进行灵巧定制;在开源代码溯源检测方面,代码卫士可支持80000多个开源代码模块识别,28000多个开源代码漏洞的检测。
4、比拟剖析
三大检测工具是目前为止源代码检测领域的领军产品,比拟情形如下:
这三款静态源代码扫描工具都有其各自特色,SCA支持的措辞多达20多种,基本上涵盖了绝大多数的运用,具有相称广泛的适用性,但同时也使得其价格非常昂贵;CxSuite支持的措辞包括常见Web运用的措辞,适用范围基本上包括了大部分的运用,其利用独创的措辞来自定义规则非常有特色,价格较之SCA有一定的上风;360代码卫士是海内首款源代码审计商业化产品,检测能力多元化,可低本钱融入开拓流程,更适宜企业用户的需求,性价比很高。值得一提的是,随着海内信息安全产品“自主、可控”原则的推广,更多的企业会方向于本地做事更好的海内源代码审计产品。
