随着互联网的飞速发展,各种网络APP应用层出不穷,网络APP应用已经成为人们生活中不可缺少的一部分。 在大家共享网络APP为人们带来便利的同时,安全问题频繁出现,信息泄露、业务中断、敲诈勒索等安全事件屡见不鲜,如何确保网络安全成为重要话题。
近年来,安全问题大部分来自于APP应用层的安全,而APP应用层的安全问题主要是由于软件源代码的安全缺陷。 随着对源代码安全的研究越来越多,源代码安全成为解决信息安全问题的重要方向,也是信息安全的新领域。
在开发阶段引入代码检查解决安全问题的想法开始被很多企业所认可。 源代码检测是一个程序分析领域,需要相关领域的技术储备,很多传统安全厂商没有相关的商业化技术产品。 互联网上有很多开源的审计工具,但检查能力、检查精度差。 本文结合多年来对源代码检测产品的理解,介绍三种成熟的商业化源代码检测产品。
1、Fortify SCA
Fortify Software是一家总部位于美国硅谷,致力于为APP应用软件提供安全发展工具和管理计划的制造商。 Fortify为APP应用程序软件开发组织、安全审计员和APP应用程序安全管理员提供工具,建立最佳的APP应用程序软件安全实践和策略,并在软件开发生命周期中执行软件
Fortify SCA是一个静态的白盒软件源代码安全测试工具,通过内置的五个主要分析引擎、数据流、语义、结构、控制流、配置流等实现APP应用软件的软件在分析过程中与其特有的软件安全漏洞规则集完全匹配、搜索,从而扫描并整理报告源代码中存在的安全漏洞。 扫描结果不仅包括详细的安全漏洞信息,还包括说明安全知识和提供修复意见。
Fortify SCA支持Java、JSP、ASP.NET、C#、VB.NET、c、c、COBOL和ColdFusion,
Transact-SQL,PL/SQL,JavaScript/Ajax,Classic,ASP,VBScript,VB6,PHPjava,jsp多语言,600多种风险类型,CWE/OWASP国际主流
2、check Marx CX套件
Checkmarx是一家以色列高科技软件公司。 该公司的产品CheckmarxCxSuite旨在识别、跟踪和修复软件源代码中的技术和逻辑安全风险。 利用专有的词汇分析技术和CxQL专利查询技术扫描源代码中的安全漏洞和弱点,首次用要分析的查询语言识别出代码安全问题。
Checkmarx CxSuite扫描结果可以以静态报告格式显示,也可以提供代码缺陷的全过程,在代码运行时可以通过调用图跟踪软件安全漏洞和质量缺陷的数据传输。 它还可以为安全漏洞和质量缺陷的修复提供指导建议。 也可以审计结果,消除误报。
Checkmarx CxSuite支持JAVA、ASP.net(c#、VB.NET )、JavaScript、Jscript、C/C和APEX等语言,包括500多种风险类型,CWE/OWASP
360码护板
360代码卫士是360企业安全集团根据多年源代码安全实践经验推出的新一代源代码安全检测解决方案,具有源代码缺陷检测、合规性检测、可追溯性检测三大检测功能360代码卫士实现了软件安全开发生命周期管理,可以与企业现有的代码版本管理系统、缺陷管理系统、构建工具等无缝对接,将源代码检测融入企业开发流程。 实现软件源代码安全目标管理、自动检测、差距分析、错误修复跟踪等功能,帮助企业以最低成本构建和落地实施代码安全体系,构建信息系统的“嵌入式安全”。
代码防护目前支持在Windows、Linux、Android、Apple iOS、IBM AIX等平台上进行代码安全检查,支持的编程语言为c/c/c #/objecttor 涵盖PHP的软件代码缺陷检测中,代码防护支持24种、700多种小类型的代码安全缺陷的检测,包括国际CWE、ISO/IEC 24772、OWASP Top 10、SANS Top 25 代码保护人员可以支持US CERT C/C /Java安全编码规范的发现,并灵活地定制以满足用户的需求。 在开源代码跟踪检查中,代码保护可以支持识别80000多个开源代码模块,检测28000多个开源代码的漏洞。
4、对比分析
三大检测工具是迄今源代码检测领域的领先产品,比较情况如下
这三种静态源代码扫描工具各有特色,SCA支持的语言多达20多种,基本上覆盖了大多数APP应用,具有相当广泛的适用性,但同时也非常昂贵; CxSuite支持的语言包括常见的web APP应用语言,应用范围基本上包括大部分APP应用,使用自己的语言定制规则非常有特色,价格比SCA有一定优势; 360码卫士是国内首款源代码核查商业化产品,检测能力多样,可以低成本融入开发流程,适合企业用户需求,性价比高。 值得一提的是,随着国内信息安全产品“自主、可控”原则的普及,更多的企业倾向于在当地服务更好的国内源代码审计产品。