三款好用的软件代码检测工具
Fortify 是一款由 Hewlett Packard Enterprise (HPE) 公司开发的源代码检测工具,Fortify可以检测代码中的安全漏洞和缺陷共900多种,它通过对应用程序的源代码进行静态分析,自动检测安全性漏洞及缺陷。Fortify支持多种编程语言,如 Java、C#、C/C++、Python、Ruby 等20多种语言。在使用上,Fortify的配置会非常复杂,在使用该工具之前和创建检测项目的时候,都需要对许多配置选项进行设置。此外Fortify检测结果中误报很多,这需要用户花大量时间和精力对报出的误报进行分析和确认。
图 1 Fortify创建检测项目
图 2 Fortify查看检测结果
Checkmarx由以色列公司开发,使用静态代码分析技术来检测应用程序中的安全漏洞。Checkmarx有一个包含数百种漏洞的库。Checkmarx可以自动识别并扫描不同的编程语言,包括Java、C#、C++、Python、PHP等20种语言。Checkmarx漏洞库相对较小,这可能会导致无法检测到用户关注的特定类型的漏洞。Checkmarx的性能会受到扫描范围和规模的限制,如果扫描的代码库比较大,需要花费大量时间和计算资源才能完成扫描。
图 3 Checkmarx创建检测项目
图 4 Checkmarx查看检测结果
库博软件源代码静态分析工具(简称CoBOT-SAST)是由北京大学联合北京北大软件工程股份有限公司研发的一款源代码检测工具,应用多种国际先进代码分析实现了源代码编码规则检测、运行时缺陷检测、安全漏洞检测、度量统计、克隆检测、逆向架构图自动生成等功能,帮助组织快速构建源代码安全自主检测体系和能力,CoBOT-SAST支持 C/C++、Java、Python、Ruby、Cobol 等20多种语言的检测,库中维护30多套检测规则集,包括注入、资源泄露、缓冲区溢出等共3000多种检测模式,除了Fortify、Checkmarx可以检测的安全漏洞和缺陷之外,CoBOT-SAST还支持编码规则的检测。这些检测模式不断更新,这就保证CoBOT-SAST在检测效率、检测范围和检测性能方面都处于行业领域国内外领先水平,带动国内软件代码安全检测行业的发展。
图 5 库博创建检测项目
图 6 库博查看检测结果
北大库博CoBOT-SAST是国内首家自主可控研发的代码检测工具,首家通过了CWE认证。对比Fortify和Checkmarx等国际一流工具,CoBOT-SAST能更好的支持接口开发,提供的接口如:新建项目、执行检测项目、获取项目检测结果、导出检测结果报告等数十种接口,方便与用户内部软件环境的集成。为了满足用户进一步的需求,库博研发团队还提供对CoBOT-SAST的定制化开发,包括检测项的定制、度量项的定制、逆向工程图的定制、检测报告的定制以及用户所需要的其他功能的定制。除此之外,库博团队通过对科研项目需求的全面分析和技术评估,基于对行业标准和最新技术的深刻理解,准确预估开发所需的资源、成本和时间,为客户提供合理的报价方案,并确保报价的可靠性和准确性。
北大库博工具团队近十年来,与国内众多重要研究机构、央国企、事业单位等,联合申报、攻关国家重要部委科研课题,取得了丰硕的科研成果。同时,支持多个行业重要软件测试工作,就行业领域合作展开科研攻关,共同发表顶会文章百余篇,成功申报国家国际奖项数十项,培养领域专业人才博士硕士数百人等。
三款好用的软件代码检测工具相关推荐
- AndroidStudio自带代码检测工具
这是一款AndroidStudio自带的代码检测工具,个人认为其存在的价值在于代码优化,一方面预防错误率产生,一方面提升自我的优化意识 ~ 如果需要规范代码,也可以 使用 Android插件 - 阿里 ...
- 5 款阿里常用代码检测工具,免费用!
作者 | 喻阳 面临问题 在日常研发过程中,我们通常面临的代码资产问题主要分为两大类:代码质量问题和代码安全漏洞. 1.代码质量问题 代码质量其实是一个老生常谈的话题,但问题是大家都知道它很重要,却又 ...
- 三款国产宝藏级别软件,个个功能强大且好用,能让你的电脑黑科技感拉满
随着PC和手机行业的发展,各种类型的软件也如雨后春笋般不断涌现. 而在这个科技日新月异的时代,数不清的软件,足以让我们眼花缭乱.如何在这琳琅满目的软件中,一眼相中宝藏级别的"神器" ...
- 鸿蒙tv文件管理,手机如何推送文件到电视,三款TV投屏软件亲测推荐!
大家在初使用智能电视的时候,都会通过U盘来给电视安装软件,然而U盘并不是唯一的安装渠道.更多的时候用户身边没有U盘,那怎么办?其实除了U盘,通过手机也能将文件推送到电视上面哦.当贝市场小编整理了三款T ...
- 哪些录音转文字免费软件好用?分享这三款好用的软件
(UC自媒体)录音转文字免费软件哪个好?这三款值得收藏 (CSDN)哪些录音转文字免费软件好用?分享这三款好用的软件 嘿,小伙伴们,如果你是一名正在学习外语的学生,那么一定会遇到听不懂英语音频里面陌生 ...
- 几个实用的软件开发工具之——代码检测工具
3代码检测工具 介绍几个动态和静态代码检测工具,可以帮助发现代码BUG. 3.1 MEMWATCH MEMWATCH 由 Johan Lindh 编写,是一个开放源代码 C 语言内存错误检测工具,您可 ...
- coverity代码检测工具介绍_微服务测试之静态代码扫描
静态代码扫描为整个发展组织增加价值.无论您在开发组织中发挥的作用如何,静态代码扫描解决方案都具有附加价值,拥有软件开发中所需要的尖端功能,最大限度地提高质量并管理软件产品中的风险. 背景 微服务架构模 ...
- Windows下 C++代码检测工具
最近在查阅一些windows系统下的C++代码及性能检测工具, 按照检测类别分别静态检测和动态检测. 静态检测: 在程序没有被实际执行的情况下执行的计算机软件分析,大部分是对源代码的分析和检测. 动态 ...
- android代码检测工具,大家好 给大家介绍一下 Android静态代码检测工具FireLine
FireLine介绍 随着时间的推移,项目的代码量越来越大,而紧张的项目开发周期使得开发人员进行单元测试的时间少之又少.我仔细看了下最近几轮测试中测试人员提的缺陷单,大部分的bug其实归根到底都是由空 ...
最新文章
- CentOS7编译安装mysql-5.6.28和编译参数
- 魔棒工具--RegionGrow算法简介
- JS 关于(function( window, undefined ) {})(window)写法的理解
- Scala range reverse调试
- [解读REST] 3.基于网络应用的架构
- 执行一次怎么会写入两次数据_浅谈 Redis 数据持久化之 AOF 模式
- SP2010开发和VS2010专家食谱--第四章节—列表定义和内容类型(7)--创建列表定义...
- Ubuntu安装Python的相对简单方法
- 各个页面样子的实现与演示
- eureka默认端口号是多少_从eureka报错中得知的默认配置
- 维修电工技师、高级技师技能实训考核装置
- python中保留字pass_Python包含的保留字
- 余三码和8421码对比
- Springboot使用Actuator健康监控以及可视化界面
- 电影票在线选座API接口电影排期场次
- php服务器默认首页,如何修改Apache服务器的默认首页?
- 针对“扫雷“和“植物大战僵尸“游戏,分析,扫描,阳光值,植物,金币,僵尸的分析逆向
- 鸡兔同笼,共有头48个,脚132只,求鸡和兔各有多少只?
- Cisco 自反ACL真机配置实例
- 区块链动态化监管方案
热门文章
- 设计模式系列文章的总结
- 神谕之战服务器连接中断,Tera(神谕之战)无法登录怎么办?,这些知识你不一定知道...
- 四年烧掉近28亿,快狗打车再次冲击“同城货运第一股“
- oracle核销预付账款,遇到预付款发票完全核销,而没有核销记录!
- 非科班应届生培训Java能就业吗?
- VScode前端 插件
- 设置linux邮箱帐号
- FTTR万兆局域网的未来发展趋势和展望
- 无代码的时代真的来了吗?系列一:前世今生
- Logstash数据处理服务的输出插件Output配置参数详解