系统安全问题日益变成影响和制约网络应用发展的一个重要因素,如今,越来越多的安全产品厂商在考虑关注软件开发的整个流程,将安全检测与监测融入需求分析、概要设计、详细设计、编码、测试等各个阶段以全面的保证应用安全。
对于软件安全性的检测,目前主要通过测试的方式来实现。测试大体上分黑盒和白盒测试。黑盒测试一般采用渗透法,这种方法需要大量的测试用例来进行覆盖,且测试完成后仍无法保证软件是否依旧有风险。而白盒测试中源代码检测越来越成为一种流行的技术。
源代码安全检测工具优势?
使用源代码检测工具对软件代码进行扫描,可以帮助开发人员发现不易察觉的漏洞和缺陷,及时修复和做好补丁。一方面可以找出潜在的风险,从内对软件进行检测,提高代码的原生安全,另一方面也可以进一步提高代码质量。通过静态代码检测工具,可以节省大量的时间和精力,真正做到及时、准确和高效。在源代码阶段进行安全检测,修正问题的成本也不高。
为什么源代码安全检测一度被轻视?
由于现在大部分客户对于软件的安全考量主要集中在软件开发的后期,在测试阶段引入。常用的软件风险评估、漏洞扫描、渗透测试等一般都是在软件开发完成后进行。此外,人们印象中常见的静态代码检测工具检测速度慢,误报率高以及代码限制等诸多问题。
随着源代码分析技术的日趋完善,现在也涌现出很多不错的源代码分析产品,如国产信创品牌中科天齐的全新一代软件源代码静态检测工具(SAST)——悟空(Wukong),可以快速扫描检测软件在开发过程中出现的技术与逻辑漏洞,自动化修复软件代码中存在的质量缺陷,提升用户抵御网络攻击、防止数据泄露等安全问题的能力。
随着网络安全事件逐渐成为国际上重点问题,源代码静态检测工具悟空(Wukong)应运而生。和国外源代码安全检测产品Coverity、Fortify相比,更加安全可信。从性能上来看,悟空(Wukong)误报率在10%以下,拥有60万行/小时的检测速度,速度快误报率低。
悟空(Wukong)可以检测丰富的代码缺陷类型,支持语义缺陷/运行时缺陷、安全漏洞、安全编码标准/规范的检测、支持混合语言检测。支持国产化环境,支持开发语言安全国家标准,支持银河麒麟、中标麒麟、鲲鹏架构等本地化部署、检测机形态。攻击向量全面分析,跨函数、跨文件的污点路径深度分析,指纹技术、相似Hash技术等运用。
在语言上支持C/C++、Java、Python、PHP、JavaScript、html等主流语言,支持包括Windows 、Ubuntu、CentOS、Red Hat、Suse Linux等主流操作系统。同时支持中标麒麟、银河麒麟等国产操作系统。
中科天齐Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!
