随着互联网的飞速发展,各种网络应用层出不穷,网络应用已经成为人们生活中不可或缺的一部分。在每个人享受网络应用带来的便利的同时,安全问题也时有发生,信息泄露、业务中断、勒索等安全事件屡见不鲜。如何保障互联网安全成为一个重要课题。近年来,大部分安全问题都来自于应用层安全,而应用层安全问题主要是由软件源代码中的安全漏洞引起的。对源代码安全的研究越来越多,源代码安全已经成为解决信息安全问题的重要方向,也是信息安全领域的一个新领域。在开发阶段引入代码检测来解决安全问题的思路已经开始被很多公司所认可。源码检测属于程序分析领域,需要相关领域的技术储备。很多传统安全厂商并没有相关的商业技术产品。网上有很多开源的审计工具,但是检测能力和检测准确率都比较差。本文结合多年对源码检测产品的了解,介绍三款相对成熟的商用源码检测产品。1.FortifySCAFortifySoftware是一家总部位于美国硅谷的公司,致力于提供应用软件安全开发工具和管理解决方案。Fortify为应用程序软件开发组织、安全审计员和应用程序安全经理提供工具,以建立一流的应用程序安全实践和策略,帮助他们以最少的时间和成本识别和修复软件开发生命周期中的软件源代码。FortifySCA是一个静态的、白盒软件源代码安全测试工具。它使用内置的五个分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态分析。在分析过程中,充分匹配搜索其独有的软件安全漏洞规则集,从而扫描出源代码中存在的安全漏洞,并给出排序报告。扫描结果不仅包括安全漏洞的详细信息,还包括相关安全知识的讲解和修复建议。FortifySCA支持Java、JSP、ASP.NET、C#、VB.NET、C、C++、COBOL、ColdFusion、Transact-SQL、PL/SQL、JavaScript/Ajax、Classic、ASP、VBScript、VB6、PHPjava、jsp语言、600多种风险类型,支持CWE/OWASP国际主流标准,交付形式为纯软件。2.CheckmarxCxSuiteCheckmarx是以色列的一家高科技软件公司。其产品CheckmarxCxSuite专门设计用于识别、跟踪和修复软件源代码的技术和逻辑安全风险。它率先使用查询语言来定位代码安全问题。它使用独特的词法分析技术和CxQL专利查询技术扫描和分析源代码中的安全漏洞和弱点。CheckmarxCxSuite的扫描结果可以静态报表的形式展示,也可以通过代码全过程的数据传输和软件安全漏洞和质量缺陷的调用图跟踪,用于软件安全漏洞和质量缺陷的跟踪缺陷。同时,还可以提供安全漏洞信息,为修复质量缺陷提供指导和建议。还可以审核结果,消除误报。CheckmarxCxSuite支持JAVA、ASP.NET(C#、VB.NET)、JavaScript、Jscript、C/C++、APEX等语言,500多种风险类型,支持CWE/OWASP国际主流标准,交付形式为纯软件.3.360CodeGuard360CodeGuard是360企业安全集团基于多年源代码安全实践经验推出的新一代源代码安全检测解决方案,包括源代码缺陷检测、合规性检测、溯源检测。大检测功能,同时360代码卫士还可以实现软件安全开发生命周期管理,与企业现有的代码版本管理系统、缺陷管理系统、构建工具等无缝对接,将源代码检测融入企业开发流程,并实现软件源代码安全目标管理、自动检测、漏洞分析、漏洞修复跟踪等功能,帮助企业以最小的成本建立代码安全保障体系,并落地实施,构建“内在安全”"用于信息系统。CodeGuard目前支持Windows、Linux、Android、AppleiOS、IBMAIX等平台的代码安全检测。支持的编程语言包括C/C++/C#/Objective-C/Java/JSP/JavaScript/PHP/Python/Cobol等主流语言。在软件代码缺陷检测方面,CodeGuard支持24大类700多个小类代码安全缺陷检测,兼容CWE、ISO/IEC24772、OWASPTop10、和SANS前25名;在软件编码合规性检测方面,CodeGuard可支持美国CERTC/C++/Java安全编码规范检测,并可根据用户需求灵活定制;在开源代码溯源检测方面,CodeGuard可支持超过80,000个开源代码模块识别,检测超过28,000个开源代码漏洞。四、对比分析三大检测工具是迄今为止源代码检测领域的主导产品。对比如下:这三款静态源码扫描工具各有特点。SCA支持20多种语言,基本涵盖了大部分的应用,适用范围广,但是也使得它非常昂贵;CxSuite支持的语言包括了常见的web应用的语言,应用范围基本涵盖了大部分应用。其使用***语言来自自定义规则非常有特色,价格相对于SCA有一定优势;360CodeGuard是国内首款源代码审计商业产品,具有多元化的检测能力,可以低成本集成到开发过程中,更适合企业用户的需求,性价比很高。值得一提的是,随着国产信息安全产品“自主可控”原则的推进,更多的企业将青睐本土服务更好的国产源代码审计产品。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读作者更多好文
