转载: https://www.cn blogs.com/Xiaoming gong/archive/2019/05/06/10821005.html
一、DMSCA-企业级静态源代码扫描分析服务平台
终端企业级静态源代码扫描分析服务平台(英文简称: DMSCA )是一个独特的源代码安全漏洞、质量缺陷、逻辑缺陷扫描分析服务平台。 该平台可用于确定、跟踪和修复源代码中的技术和逻辑缺陷,软件开发和测试团队可快速准确地解决源代码中的安全漏洞、质量和业务逻辑缺陷等问题提高软件产品的可靠性、安全性。 同时,符合国际、国内相关行业的合规要求。
DMSCA是终端玛科技在多年静态分析技术积累和研发努力下,与众多国内和国际知名高校、专家共同分析全球静态分析技术的优缺点后,结合目前开发的语言技术现状、源代码缺陷发展状况和市场后,开发的新一代源代码企业该方案克服了传统静态分析工具误报率(False Positive )高和失报)的缺陷。 中断对国外产品高端静态分析产品的垄断,形成我国自主可控的高端源代码安全和质量扫描产品,符合我国自身源代码检测国家标准(GB/T34944-2017 Java、GB/T34943-2017 C/C
DMSCA支持对关键编程语言的安全漏洞和质量缺陷的扫描和分析,以及客户化平台的接口、报告和集成,以满足客户特定的安全策略、安全标准和研发操作环境的需要产品上市以来,深受中国国内广大客户的欢迎。 这些客户包括但不限于银行、在线支付、保险、电力、能源、电信、汽车、媒体娱乐、软件、服务和军事等行业的财富1000强企业
1、系统架构
2、系统组件
3、产品界面
4、内置SDLC
五.主要功能和特性
操作系统是独立的。 代码扫描与特定操作系统无关,只需在整个企业中部署一台扫描服务器,即可扫描其他操作系统开发环境中的代码。
编译器独立,开发环境独立,构建测试环境简单快速统一。 由于采用了独特的虚拟编译器技术,代码扫描不依赖于编译器和开发环境,也不需要在每种开发语言的代码中安装编译器和测试环境,而是通过客户端、浏览器和开发环境集成插件登录到we服务器
学习、培训和使用工具的成本更少,对开发进度的影响最小。 由于编译器、操作系统和开发环境是独立的,用户不需要学习如何在各个平台上编译代码、调试代码、扫描测试代码,也不需要在各个平台上看到麻烦的使用方法因为终端码扫描系统服务只需提供源代码即可进行扫描,并提供准确的扫描结果。
误报少。 DMSCA企业服务在扫描期间完全分析APP应用程序的所有路径和变量。 正确分析结果,验证可能的风险是否真正引起安全问题,自动排除噪声信息,扫描结果几乎是最终分析结果,误报率(False Positive )几乎为零。 大大降低了的审计分析的人力成本,大大节约了代码审计的时间,为开发团队赢得了更多的开发时间。
安全漏洞宽敞、全面。 数百个安全漏洞检测适合任何组织,支持最新的OWASP、CWE、SANS、PCI、SOX、GDPR等国际权威组织定义软件安全漏洞,同时支持中国国家源代码安全检测标准t34943-2017c漏洞覆盖广泛,安全检查全面,其自定义查询语言可以灵活地编写用户所需的代码规则,大大丰富特定的代码安全和代码质量需求。
安全查询规则明确、完全公开。 由于规则的定义清晰,所有规则的定义和实现都是完全公开的,用户可以清楚地知道工具如何定义风险,如何发现风险,从而使各种语言的风险透明。 告知用户工具已经在做那些工作而没有做那些工作。 不是给用户黑匣子,而是用户不知道工具的细节和缺陷,在代码审计过程中无法避免工具的风险(例如漏报和误报)。 例如,通过人工或其他手段寻找找不到工具的问题。
安全规则定制简单高效。 由于公开了所有规则实现的详细信息和语法,用户可以快速修改规则,也可以参考现有规则语句定制自己需要的规则,学习规则,定义简单高效。 可以快速实现组织的软件安全策略。
业务逻辑和体系结构风险调查。 终端标记扫描系统服务可以对所有扫描码中的任何代码元素(词汇)进行动态数据影响、控制影响和业务逻辑研究和调查。 分析代码逻辑和体系结构特定的安全风险,最后定义规则以准确搜索这些风险。 这是目前唯一能够动态分析业务逻辑和软件体系结构的静态技术。
将攻击路径可视化,用3D表现。 每个安全漏洞的攻击模式和路径都完整显示,并以3D图形显示,便于安全问题的调查和分析。
主要语言支持: Java、JSP、JavaSript、VBSript、C#、ASP.net、VB.Net、VB6、C/C、ASP、PHP、Python、Swift、Ruby、Perl
ASP ESAPI、MISRA、obxxxxjective-C (iOS)、API及第三方语言。支持的主流框架(frxxxxamework):Struts、Spring、Ibatis、GWT、Hiberante、Enterprise Libraries、 Telerik、ComponentArt、Infragistics、FarPoint、Ibatis.NET、Hibernate.Net [*]、MFC。可针对客户特定框架快速定制支持。
服务独立,全面的团队扫描支持。作为服务器运行。开发人员、管理人员和审计人员都可以凭各自的身份凭证从任何一处登录服务器,进行代码扫描、安全审计、团队、用户和扫描任务管理。
高度自动化扫描任务。自动集成版本管理(SubVersion、TFS、Git、其它)、SMTP邮件服务器和Windows账户管理,实现自动扫描代码更新、自动扫描、自动报警和自动邮件通知等。
支持多任务排队扫描、并发扫描、循环扫描、按时间调度扫描,提高团队扫描效率。
云服务实现:支持跨Internet实现源代码安全扫描“云服务”。
支持最佳修复位置建议 ,图形显示最佳修复点。
支持客户化平台定制:定规则、定策略、定界面、定报告、定流程、定规范及接口集成。
二、VeraCode静态源代码扫描分析服务平台
Veracode静态源代码分析服务平台是全球商业运营最好的平台,全球数千家 软件科技公司都在使用其服务发现软件安全漏洞、质量缺陷。
支持众多主流的开发语言和框架:
Java
.NET
jaxxxxvascxxxxript & Typescxxxxript (including AngularJS Node.js and jQuery)
Python Perl PHP Ruby on Rails Scala ColdFusion Classic ASP
iOS (obxxxxjective-C and Swift) Android (Java) PhoneGap Cordova Titanium Xamarin
C/C++ (Windows RedHat Linux OpenSUSE Solaris)
COBOL RPG Visual Basic 6
三、Fortify Scan
Fortify SCA是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态分析,分析的过程中与它特有的软件安全漏洞规则进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给于整理报告。
四、Checkmarx
Checkmarx的CxEnterprise静态源代码安全漏洞扫描和管理方案是一款比较全面的、综合的源代码安全扫描和管理方案,该方案提供用户、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略管理、更新管理、报表管理等多种企业环境下实施源代码安全扫描和管理功能。