近年来,重全事件频发,其中很多都与系统或软件存在的漏洞相关。尤其一些基础系统存在的高危漏洞严重影响企业业务的安全心脏出血”漏洞、Apache struts2漏洞等。究其根源,大多源于源代码安全漏洞,这也引得众多大企业对源代码的安全工作日益重视起来,将其视为软件质量的一部分。
企业通过源代码安全检测,定位代码级别的安全缺陷,并进行修复,可以提升软件安全质量。而且在编码阶段发现软件安全缺陷、修复缺陷所花费的成本比软件发布后再返工修改要低得多。但长期以来,由于国内相关源代码安全标准的缺失及技术发展的制约,国内源代码安全检测市场一直由国外品牌垄断,不仅售价高,更无法满足自主可控的政策需求。基于这一原因,
是采用业界领先的源代码静态分析技术开发的一款针对源代码缺陷进行静态分析检测的产品。它在对目标软件代码进行语法、语义分析的技术上,辅以数据流分析、控制流分析和特有的缺陷分析算法等高级静态分析手段,能够高效的检测出软件源代码中的可能导致严重缺陷漏洞和系统运行异常的安全问题和程序缺陷,并准确定位告警,从而有效的帮助开发人员消除代码中的漏洞、减少不必要的软件补丁升级。
与国际上其它同类产品相比产品具有以下功能特点:
完全自主知识产权:全部由国内信息安全技术人员研发,避免了外国同类产品的安全隐患。
的界面操作:全程中文支持,无论操作界面还是输出的报告均为中文,大幅提升了工作效率。
自定义的缺陷类型检测规则:系统提供了25个大类,169种的缺陷类型检测,用户可根据需求对被检测代码做一个全量分析,
支持检测多种缺陷和质量类型:漏洞知识库已包含多种语言、多达数百条缺陷类型,每条漏洞都有详尽的描述和修补建议,从多个维度全面覆盖代码安全问题。
高效快速的缺陷分析:通过优化的数据流分析技术、缺陷类型的智能识别、检测规则依赖关系等源码扫描技术的运用及完善的缺陷检测规则,检测速度和检测结果的准确性做到了一个很好的平衡。
低误报率和漏报率:采用业内领先的深度缺陷扫描分析技术,检测时能提供过程内、过程间等各种层次的分析,全面深入检测,降低了检测结果中的误报率和漏报率。
不需源代码也能检测:新升级的功能,在源代码缺陷扫描基础上,增加了JAVA软件字节码缺陷分析工具,不需要源代码,仅根据已发布的应用程序的字节码文件,就可以识别软件应用的安全问题。
目前来说,我国用户使用的源代码检测产品均为进口产品,此次在中国市场的推广,终结了完全依靠外国产品的局面,也标志着我国拥有完全自主知识产权产品的出现,必将为代码安全开启一个全新自主的新局面!
