现在大部分客户对于软件开发的安全考量基本集中在软件开发的后期,在测试阶段引入。常用的软件风险评估、漏洞扫描、渗透测试等都是在软件开发完成后进行。通常这个阶段预留的时间非常少,不仅修复的难度高,修复、测试的成本极高,而且存在大量的漏洞错报和误报的情况。后期的测试手段也无法精准地测试出代码漏洞的具体位置。当通过后期测试发现问题后,人工进行代码审查去查找漏洞所在代码位置时,我们经常会发现过程中存在效率低、准确率低、无法定位具体问题代码行等问题。而这些问题导致了客户后期发现系统漏洞时,无法进行快速、准确地修复,客户只能让系统携带漏洞上线。悟空(Wukong)代码漏洞检测工具将从开发早期进行安全介入,能够快速精准地定位问题代码行,对漏洞进行实时管理,完美地解决上述问题,从源代码级别保护系统的代码安全。
中科天齐悟空静态代码检测工具是以中科院计算所国际领先的自主研究成果“软件安全智能检测修复平台”,其检测“深度”更深、“速度”更快、“精度”更准、“范围”更广且弥补了SAST类工具无法支持国产操作系统和国产芯片的不足,支持Ubuntu、CentOS主流Linux环境部署;支持中标麒麟、银河麒麟等国产操作系统部署;支持高并发用户的分布式部署的国产化自主研发检测工具,已成为市场上现有源代码安全检测最强有力的工具。
本产品选用Juliet Test Suite V1.3 版本的测试集进行测试,该测试集是由美国国家技术标准研究所(National Institute of Standards and Technology,NIST) 于 2017 年针对 CWE 中的不同分类所创建的。针对我们所支持的cwe分类测试结果漏报率为3% , 误报率为2%。且符合以下国家标准:
《中华人民共和国网络安全法》
《网络安全等级保护基本要求》国家推荐标准GB/T22239-2019
《信息安全技术 信息安全等级保护基本要求》国家推荐标准GB/T 22239 2008 国家信息安全漏洞库分类(已获得CNNVD兼容性资质认证)
《 C/C++语言 源代码漏洞测试规范》国家推荐标准GB/T 34943-2017
《Java语言 源代码漏洞测试规范》国家推荐标准GB/T 34944-2017
《Java语言 源代码缺陷控制与测试指南》行业推荐标准SJ/T 11683-2017
《C/C++语言 源代码缺陷控制与测试指南》行业推荐标准SJ/T 11682-2017
Cert Java(国际规范)
Cert C/C++(国际规范)
软件安全 网络安全的最后一道防线
中科天齐公司是在中科院计算技术研究所的大力推动下
以中科院计算所国际领先的自主研究成果
为基础组建的高新技术企业
