English/英文

源代码安全审计

  • 源代码安全审计

    提供全面的代码安全审计解决方案

    源代码安全审计通过源代码静态分析工具提供了一个全面的代码安全审计解决方案,帮助企业在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞,分析用用程序的安全状态,提供代码级修复建议,从根源上修复漏洞,帮助企业以低成本控制应用程序安全风险。
    产品功能

    操作系统独立
     
    代码扫描不依赖于特定操作系统,只需在在企业范围内部署一台扫描服务器,就可以扫描其它操作系统开发环境下的代码
    编译器独立、开发环境独立
     
    由于采用了独特的虚拟编译器技术,代码扫描不需要依赖编译器和开发环境,无需为每种开发语言的代码安装编译器和测试环境,只需要通过客户端、浏览器、开发环境集成插件登录到we服务器
    低误报
     
    代码扫描系统企业服务在扫描过程中全面分析应用的所有路径和变量。准确地分析结果,验证可能的风险是否真正导致安全问题,自动排除噪音信息,扫描结果几乎就是最终的分析结果,误报率(False Positive)几乎为零。极大的减少了审计分析的人工劳动成本,极大节省了代码审计的时间,为开发团队赢得更多的开发时间

     
    低漏报
     
    数以百计的安全漏洞检查适合任于何组织,支持最新的OWASP 、CWE、SANS、PCI、SOX等国际权威组织对软件安全漏洞的定义。漏洞覆盖面广,安全检查全面,其自定义查询语言可以让用户灵活制定需要的代码规则,极大的丰富组织特定的代码安全和代码质量的需要
    查询规则公开
     
    规则定义清晰,并完全公开所有规则的定义和实现让用户清楚知道工具如何去定义风险、如何去查找风险,透明各种语言风险。让用户知道工具已经做了那些工作,没有做那些该工作。而不是给用户一个黑匣子,用户无法了解工具的细节和缺陷,无法在代码审计过程中规避工具的风险(比如漏报和误报),比如利用人工或者其它手段查找工具不能定位的问题
    安全规则自定义简单高效
     
    由于公开了所有规则实现的细节和语法,用户可以快速修改规则或者参考已有的规则语句自定义自己需要规则,规则学习,定义简单高效。能快速实现组织软件安全策略
    业务逻辑和架构风险调查
     
    代码扫描系统服务可以对所有扫描代码的任意一个代码元素(词汇)做动态的数据影响、控制影响和业务逻辑研究和调查。分析代码逻辑和架构特有的安全风险,并最后定义规则精确查找这些风险。这是目前唯一能动态分析业务逻辑和软件架构的静态技术
    服务独立,全面的团队扫描支持
     
    作为服务器运行。开发人员、管理人员和审计人员都可以凭各自的身份凭证从任何一处登录服务器,进行代码扫描、安全审计、团队、用户和扫描任务管理,并支持云服务
    高度自动化扫描任务
     
    自动集成版本管理(SubVersion、TFS)、SMTP邮件服务器和Windows账户管理,实现自动扫描代码更新、自动扫描、自动报警和自动邮件通知等
    系统特点

    系统架构

    基于B/S的分布式架构,可实现多用户、多任务并发,便于多人协作使用

    源代码安全审计平台主要由服务器端和用户桌面构成,其中服务器包含IIS服务器、API接口、数据服务器、引擎服务器。管理服务器对平台进行管理、配置和任务调度,数据库服务器用于存储系统的各类数据,IIS服务器负责数据的发布