checkmarx應(yīng)用代碼審計(jì)流程優(yōu)惠報(bào)價(jià)「多圖」

發(fā)布時(shí)間：2021-10-13 09:11

【廣告】

請(qǐng)問(wèn)有哪些代碼審計(jì)的工具產(chǎn)品？

國(guó)外商業(yè)工具：klocwork, fortify,Coverity, parasoft, TestBad, C Test, Checkmarx CxEnterprise，PolySpace，PClint（有些不是產(chǎn)品名稱，不過(guò)在業(yè)內(nèi)都這么叫）。

國(guó)外開(kāi)源工具：findbugs, checkstyle,sonar,PMD...國(guó)內(nèi)商業(yè)工具：360代碼衛(wèi)士，這個(gè)大多數(shù)人還沒(méi)有聽(tīng)過(guò)，不過(guò)它已經(jīng)是一款非常成熟的產(chǎn)品，實(shí)際的項(xiàng)目分析中完全不輸給國(guó)外的源代碼靜態(tài)分析工具。

APP代碼審計(jì)檢測(cè)系統(tǒng)架構(gòu)

測(cè)試系統(tǒng)主要分為兩個(gè)模塊，一個(gè)是分析引擎模塊，一個(gè)是測(cè)試管理模塊。不同平臺(tái)上開(kāi)發(fā)的軟件代碼可以通過(guò)中間的分布式調(diào)度方式來(lái)完成分發(fā)調(diào)度測(cè)試。如圖所示：

目前可以支持對(duì) JAVA、JSP、 C、C 、PHP、ASP、 C#、Javascript、VBscript、Python、HTML、XML等十幾開(kāi)發(fā)語(yǔ)言的安全漏洞的檢查，共能夠檢測(cè)出約 1000種漏洞。啟天安全源代碼審計(jì)系統(tǒng)將所有安全漏洞系統(tǒng)地整理并依據(jù)漏洞的表現(xiàn)形式、形成原因和危害程序進(jìn)行科學(xué)地分類，共分為“輸入驗(yàn)證、API 誤用、質(zhì)量性能、異常處理、代碼規(guī)范、安全控制、環(huán)境配置、信息封裝”8個(gè)大類，然后根據(jù)開(kāi)發(fā)語(yǔ)言的不同，在結(jié)合國(guó)際漏洞標(biāo)準(zhǔn)組織CWE的漏洞知識(shí)庫(kù)進(jìn)行細(xì)分和命名，目前約1000個(gè)子類。

代碼安全審計(jì)的對(duì)象和內(nèi)容

源代碼安全檢測(cè)主要對(duì)象包括并不限于對(duì)Windows和Linux系統(tǒng)環(huán)境下的語(yǔ)言進(jìn)行審核，例如C、C 、OC、C#、Java、PHP、JSP、ASPX、Javascript、Python、Cobol、Go等進(jìn)行安全審計(jì)測(cè)試。

源代碼安全檢測(cè)的主要內(nèi)容包括但不限于：

1、WEB應(yīng)用框架安全性；

2、WEB應(yīng)用程序的權(quán)限架構(gòu)；

3、WEB應(yīng)用通信安全；

4、數(shù)據(jù)庫(kù)的配置規(guī)范；

5、OWASP WEB 前10漏洞；

5、SQL語(yǔ)句的編寫規(guī)范