现如今如果不使用静态代码分析方法,是难以开发出高品质的软件。而有些人则认为,动态代码分析或人工渗透测试完全可以代替静态代码分析,因为这些测试方法能准确检测到已知漏洞且不产生误报。但我们往往忽略了一个问题,与静态代码分析相比,动态测试并不会检查所有代码,只是模拟攻击软件运行时的漏洞缺陷,进而查除存在风险。然而真正的网络攻击者往往要比测试者更具试验性和创造性,一旦出现0day漏洞等未知风险,软件的修复便要面临更大的挑战。因此,一款好的静态代码检测工具是软件安全运行不可或缺的重要保证。
现阶段的市场上充斥着众多国内外老牌静态代码分析工具厂商,同时也有越来越多新的静态代码分析工具不断涌现。究其原因是因为每款静态分析工具都有在某一方面的漏洞缺陷上有检测的优势。那么为什么没有一款静态分析工具可以对各方面进行全面的检测并有效消除误报,同时又可以快速工作并且无需占有大量的CPU、时间和内存呢?
原因在于静态分析技术的架构。许多静态分析工具供应商声称其支持所有编程语言的使用,而非单独组件,这种“整体分析方法”能避免软件产品在各个组件之间的接口处出现缺失,从而达到良好的检测效果。但事实上,各编程语言都有其不同的通用内部表示,而异构的编程语言越多,树的顶点特征异构组件就越多,便会导致在检测中的某一方面生产效率降低。
全新一代静态分析技术——中科天齐悟空(Wukong)软件源代码静态检测分析工具(SAST)
中科天齐自主研发的信创产品悟空静态代码检测工具能够帮助企业在软件开发阶段进行查找、识别、追踪因代码规范/缺陷造成的安全漏洞,对代码编写过程中出现的技术与逻辑漏洞在早期进行预警与修复并有效消除大量误报与漏报,降低软件在运行后产生未知漏洞的风险,有效提升软件抵御网络攻击的安全能力。
悟空静态检测优势:
①国际领先的代码切片分析技术
悟空拥有自主研发的国际领先代码切片分析技术,能够直接提取程序中的关键信息,有效缩短检测时间。
②跨文件、跨函数上下文敏感分析技术
悟空采用跨文件、跨函数上下文敏感分析技术,能够发现复杂漏洞触发路径。通过构建控制流图、函数调用图以及函数摘要信息等进行综合分析,发现深度缺陷。
③相似代码指纹技术
悟空使用相似代码指纹技术,支持对第三方库和开源组件的检测,在进行代码克隆分析时,能够大幅度提升检测效率。
④漏洞信息实时跟踪技术
通过跟踪和分析最新漏洞(包括0day漏洞),不断优化和完善安全漏洞模式,确保检测引擎能够支持最新的安全漏洞检测,最大程度降低企业信息泄漏风险。
关键词标签:静态分析技术 代码静态检测 软件安全测试 静态分析 静态检测工具
