四款优秀的源代码扫描工具简介
转载于:https://www.cnblogs.com/xiaominggong/archive/2019/05/06/10821005.html
一、DMSCA-企业级静态源代码扫描分析服务平台
端玛企业级静态源代码扫描分析服务平台(英文简称:DMSCA)是一个独特的源代码安全漏洞、质量缺陷和逻辑缺陷扫描分析服务平台。该平台可用于识别、跟踪和修复在源代码中的技术和逻辑上的缺陷,让软件开发团队及测试团队快速、准确定位源代码中的安全漏洞、质量和业务逻辑缺陷等问题,并依据提供的专业中肯的修复建议,快速修复。提高软件产品的可靠性、安全性。同时兼容并达到国际、国内相关行业的合规要求。
DMSCA是端玛科技在多年静态分析技术的积累及研发努力的基础上,联合多所国内及国际知名大学、专家共同分析全球静态分析技术的优缺点后、结合当前开发语言的技术现状、源代码缺陷的发展势态和市场后,研发出的新一代源代码企业级分析方案旨在从根源上识别、跟踪和修复源代码技术和逻辑上的缺陷。该方案克服了传统静态分析工具误报率(False Positive)高和漏报(False Negative)的缺陷。打断了国外产品在高端静态分析产品方面的垄断,形成中国自主可控的高端源代码安全和质量扫描产品,并支持中国自己的源代码检测方面的国家标准(GB/T34944-2017 Java、GB/T34943-2017 C/C++、GB/T34946-2017 C#),致力于为在中国的企业提供更直接,更个性化的平台定制和本地化服务。
DMSCA支持主流编程语言安全漏洞及质量缺陷扫描和分析,支持客户化平台界面、报告、规则自定义,以满足客户特定安全策略、安全标准和研发运营环境集成的需要。产品从面世,就获得了中国国内众多客户的青睐,这些客户包括但不限于银行、在线支付、保险、电力、能源、电信、汽车、媒体娱乐、软件、服务和军事等行业的财富1000企业。
1、系统架构
2、系统组件
3、产品界面
4、集成SDLC
五 、主要功能及特性
操作系统独立。代码扫描不依赖于特定操作系统,只需在在企业范围内部署一台扫描服务器,就可以扫描其它操作系统开发环境下的代码。
编译器独立、开发环境独立,搭建测试环境简单快速且统一。由于采用了独特的虚拟编译器技术,代码扫描不需要依赖编译器和开发环境,无需为每种开发语言的代码安装编译器和测试环境,只需要通过客户端、浏览器、开发环境集成插件登录到we服务器。
工具学习、培训和使用的成本少,最小化影响开发进度。由于编译器、操作系统和开发环境独立,使用者无需去学习每种平台下如何去编译代码,调试代码、如何扫描测试代码,无需去看每种平台下繁琐的使用手则。因为端玛代码扫描系统服务只需要提供源代码即可扫描,并给出精确的扫描结果。
低误报。 DMSCA企业服务在扫描过程中全面分析应用的所有路径和变量。准确地分析结果,验证可能的风险是否真正导致安全问题,自动排除噪音信息,扫描结果几乎就是最终的分析结果,误报率(False Positive)几乎为零。极大的减少了审计分析的人工劳动成本,极大节省了代码审计的时间,为开发团队赢得更多的开发时间。
安全漏洞覆盖面广且全面 (低漏报)。数以百计的安全漏洞检查适合任于何组织,支持最新的OWASP 、CWE、SANS、PCI、SOX、GDPR、等国际权威组织对软件安全漏洞的定义,同时支持中国国家源代码安全检测标准(GB/T34944-2017 Java、GB/T34943-2017 C/C++、GB/T34946-2017 C#)。漏洞覆盖面广,安全检查全面,其自定义查询语言可以让用户灵活制定需要的代码规则,极大的丰富组织特定的代码安全和代码质量的需要。
安全查询规则清晰且完全公开实现。规则定义清晰,并完全公开所有规则的定义和实现让用户清楚知道工具如何去定义风险、如何去查找风险,透明各种语言风险。让用户知道工具已经做了那些工作,没有做那些该工作。而不是给用户一个黑匣子,用户无法了解工具的细节和缺陷,无法在代码审计过程中规避工具的风险(比如漏报和误报),比如利用人工或者其它手段查找工具不能定位的问题。
安全规则自定义简单高效。由于公开了所有规则实现的细节和语法,用户可以快速修改规则或者参考已有的规则语句自定义自己需要规则,规则学习,定义简单高效。能快速实现组织软件安全策略。
业务逻辑和架构风险调查。端玛代码扫描系统服务可以对所有扫描代码的任意一个代码元素(词汇)做动态的数据影响、控制影响和业务逻辑研究和调查。分析代码逻辑和架构特有的安全风险,并最后定义规则精确查找这些风险。这是目前唯一能动态分析业务逻辑和软件架构的静态技术。
攻击路径的可视化,并以3D形式展现。每一个安全漏洞的攻击模式和路径完全呈现出来,以3D图形的方式显示,便于安全问题调查和分析。
支持主流语言:Java、JSP、JavaSript、VBSript、C#、ASP.net、VB.Net、VB6、C/C++、ASP、PHP、Python、Swift、Ruby、Perl、PL/SQL、Android、OWASP ESAPI、MISRA、obxxxxjective-C (iOS)、API及第三方语言。
支持的主流框架(frxxxxamework):Struts、Spring、Ibatis、GWT、Hiberante、Enterprise Libraries、 Telerik、ComponentArt、Infragistics、FarPoint、Ibatis.NET、Hibernate.Net [*]、MFC。可针对客户特定框架快速定制支持。
服务独立,全面的团队扫描支持。作为服务器运行。开发人员、管理人员和审计人员都可以凭各自的身份凭证从任何一处登录服务器,进行代码扫描、安全审计、团队、用户和扫描任务管理。
高度自动化扫描任务。自动集成版本管理(SubVersion、TFS、Git、其它)、SMTP邮件服务器和Windows账户管理,实现自动扫描代码更新、自动扫描、自动报警和自动邮件通知等。
支持多任务排队扫描、并发扫描、循环扫描、按时间调度扫描,提高团队扫描效率。
云服务实现:支持跨Internet实现源代码安全扫描“云服务”。
支持最佳修复位置建议 ,图形显示最佳修复点。
支持客户化平台定制:定规则、定策略、定界面、定报告、定流程、定规范及接口集成。
二、VeraCode静态源代码扫描分析服务平台
Veracode静态源代码分析服务平台是全球商业运营最好的平台,全球数千家 软件科技公司都在使用其服务发现软件安全漏洞、质量缺陷。
支持众多主流的开发语言和框架:
Java
.NET
jaxxxxvascxxxxript & Typescxxxxript (including AngularJS Node.js and jQuery)
Python Perl PHP Ruby on Rails Scala ColdFusion Classic ASP
iOS (obxxxxjective-C and Swift) Android (Java) PhoneGap Cordova Titanium Xamarin
C/C++ (Windows RedHat Linux OpenSUSE Solaris)
COBOL RPG Visual Basic 6
三、Fortify Scan
Fortify SCA是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态分析,分析的过程中与它特有的软件安全漏洞规则进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给于整理报告。
四、Checkmarx
Checkmarx的CxEnterprise静态源代码安全漏洞扫描和管理方案是一款比较全面的、综合的源代码安全扫描和管理方案,该方案提供用户、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略管理、更新管理、报表管理等多种企业环境下实施源代码安全扫描和管理功能。
四款优秀的源代码扫描工具简介相关推荐
- 源代码扫描工具DMSCA(端玛科技企业级源代码安全和质量缺陷扫描分析服务平台)体验报告
在开发过程中,优秀的源代码扫描工具可以帮助我们快速扫描漏洞,高效完成源代码缺陷修复.少漏报和误报率低的工具是我们的首选,我最近试用了许多源代码扫描工具和方案,其中 DMSCA(端玛科技企业级源代码安全 ...
- 国产源代码扫描工具DMSCA扫描出的报告优秀吗?
在源代码扫描工具中,扫描报告是非常具有参考意义的,一方面可以了解我们开发项目的漏洞情况,另一方面也可以针对扫出的漏洞进行修复,确保开发出安全可靠的软件.误报和漏报是一个非常重要的参考指标. 国产源代码 ...
- [转载From少数派] 码字必备:18 款优秀的 Markdown 写作工具 | 2015 年度盘点
码字必备:18 款优秀的 Markdown 写作工具 | 2015 年度盘点 Codegass 2015年12月31日 47 69 现在是 2015 年底,自 2004 年 John Gruber1 ...
- Things3 3.13.13 一款优秀的GTD任务管理工具
Mac毒搜集到的Things 是macOS上的一款优秀的GTD任务管理工具,是一款非常值得尝试的任务管理及日程管理程序,并且支持同步到iPhone中. 应用介绍 Things 是macOS上一个任务管 ...
- 一款强大的端口扫描工具(nmap)
一款强大的端口扫描工具(nmap) 文章目录 一款强大的端口扫描工具(nmap) 前言 一.Nmap 使用技巧汇总 一.主机发现 二.端口扫描 三.指纹识别与探测 四.伺机而动 五.防火墙/IDS逃逸 ...
- AMD连发四款OpenCL加速计算开发工具
AMD今天宣布推出四款全新的软件开发工具和方案,可进一步优化应用程序对OpenCL标准规范的支持,并且全部支持Fusion APU融合处理器. gDEBugger:一款先进的OpenCL/OpenGL ...
- 20 款优秀的数据可视化工具,总有一款你用的到!
今天给大家分享20款优秀的数据可视化工具,欢迎收藏! /01/ 入门级工具 01 Excel Excel的图形化功能并不强大,但Excel却是分析数据的理想工具,上图是Excel生成的热力地图. 作为 ...
- vb net 模拟 ctrl+c_8款优秀的.NET开发工具,收藏了
NET是一个重要的应用程序开发平台,因为它安全.稳定.易于学习和实现.今天小编给就给大家介绍8款优秀的.NET开发工具,有需要的小伙伴可以收藏转发哦. 1.Chocolaty Chocolaty是一个 ...
- 7款优秀的开源数据挖掘工具
7款优秀的开源数据挖掘工具 IDMer说道:本文只对几种流行的开源数据挖掘平台进行了检视,比如Weka和R等.如果您想找寻更多的开源数据挖掘软件,可以到KDnuggets和Open Directo ...
- 降噪耳机推荐,四款优秀的降噪耳机分享
随着降噪耳机的降噪技术越来越成熟,甚至有些降噪耳机能让苹果降噪耳机对比,也随着耳机的增加,很多人不知如何购一款适合自己的那款降噪蓝牙耳机了,就怕入手不喜欢不适合的,接下来,我推荐四款优秀的降噪耳机分享 ...
最新文章
- 强化学习:10种真实的奖励与惩罚应用
- java数组循环试题_Java学习关于循环和数组练习题整理
- 网络编程学习笔记(getservbyname和getservbyport函数)
- golang中的目录操作
- 通过特殊字符查询所在表 或 存储过程
- xshell 打开文件跳转到最后_xshell的快捷键(非常实用)
- awk中$NF和NF的含义
- 简单、易用的 MySQL 官方压测工具
- 北京内推 | 启元实验室招聘视觉感知算法工程师(北京事业单位)
- [Mummy Maze] 宽度优先搜索
- can-utils源码解析cansend
- 数据迁移测试_自动化数据迁移测试
- 资深架构专家讲解微服务治理的架构演进
- python爬虫之---------------cookie和session
- Unix Vi 命令详解
- Linux 中的 XEN 虚拟化技术(二)Xen 的安装和配置
- LaTeX 语法教程
- 记录-vant-DatetimePicker时间选择器,时间选择滚动区域消失。[class*=van-hairline]
- 普乐郡——回乐县(城市记忆7)
- Python京东爬虫