随着互联网+模式在各行各业的快速发展,信息化设越发广泛,快速迭代成为主流的软件开发模式,因此,软件系统从开发到上架的周期越缩越短,而软件的繁杂性却越来越高,这使得软件中隐藏的各类安全风险也随之越来越高,通常情况下难以被发现和消除,导致软件的安全性面临极大挑战。
近年来爆发影响较大的安全事件屡见不鲜,致使各企业的安全意识也得到了较大的提升,都会在软件项目研发中提出安全层面的需求。而安全漏洞问题的本质是代码开发缺陷的问题,百分之九十的安全漏洞都可以定位到源代码开发层面上,例如:
◆ 数据库程序编写不当导致的SQL注入漏洞,使得数据泄漏,乃至数据库被删除的事件时有发生。
◆ 网站程序编写不当导致的跨站攻击漏洞,会导致用户隐私信息泄漏,电商、金融类网站甚至会发生用户损失资金。
◆服务端程序编写不当导致拒绝访问漏洞,被恶意用户攻击会出现内存溢出资源耗尽服务器宕机的情况。
◆ 应用系统访问控制程序编写不当,被攻击者利用抓取全系统的数据,并出现恶意删除系统业务数据的情况。
不可否认人工的代码审查是发现代码安全问题的重要举措,但人工审查很难全面找出安全漏洞,其主要是因为具备审查代码安全问题能力的专业人士较为稀缺,不能保证所有从事代码审查工作的人员都具备足够的专业能力,此外,由于源代码量大,人工检查出现遗漏也是在所难免的。
中科天齐悟空(Wukong)软件静态代码分析工具帮你揪出“元凶”
北京中科天齐信息技术有限公司是中科院计算技术研究所软件安全领域的产业化平台,以中科院计算所国际领先的自主研究成果“软件安全智能检测修复平台(Wukong悟空)”为基础,组建的高新技术企业。其提供静态应用程序安全测试(SAST)服务,悟空软件代码检测工具采用代码全自动静态分析技术,通过代码切片分析技术、跨文件、跨函数上下文敏感分析技术、相似代码指纹技术、漏洞信息实时跟踪技术提取程序语法特征,采用规则检查、类型推导、数据流分析、符号执行、内存精确建模、控制流分析等分析技术,根据预先设定的漏洞特征、安全规则等进行缺陷模式匹配,进而检测发现程序源代码中出现的安全问题。
目前悟空静态代码检测分析工具支持C/C++、JAVA、Python、JS、HTML、PHP等主流编码语言,能够为客户在软件开发过程中查找、识别、追踪编码中存在的技术漏洞和逻辑漏洞,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。
中科天齐悟空(Wukong)静态代码检测工具为您的软件安全保驾护航!咨询热线:400-636-0101.
软件安全 网络安全的最后一道防线
中科天齐公司是在中科院计算技术研究所的大力推动下
以中科院计算所国际领先的自主研究成果
为基础组建的高新技术企业
