精华内容
下载资源
问答
  • Fortify SCA 源代码安全检测工具

    千次阅读 2012-07-09 16:37:42
    Fortify SCA 源代码安全检测工具: 1.业界最完整的静态代码分析器 SCA在发现和分析漏洞方面是全面的。SCA的分析引擎和已获得专利的X-Tier数据流分析器(专利编号#7207065 )在一个其它技术无法到达的深度对问题...

    Fortify SCA 源代码安全检测工具:

    1.业界最完整的静态代码分析器

    SCA在发现和分析漏洞方面是全面的。SCA的分析引擎和已获得专利的X-Tier数据流分析器(专利编号#7207065 )在一个其它技术无法到达的深度对问题进行广泛检测。SCA的分析引擎以最大和最全面的安全编码规则为基础,该规则中的漏洞类别超过200种,并且Fortify Software的安全专家们还在不断的更新这些规则。

    2.在确认安全漏洞上的无与伦比的准确性

    SCA在提供准确的结果方面相当的优异。由于其成熟的引擎技术和精确的安全编码规则,故其以非常低的误报率对问题进行排名和分类。安全编码规则可以自动更新到先进的、切合时宜的能准确地识别漏洞的安全专业知识。另外,没有一个应用软件会和其它软件具有一模一样的风险特征,它们也不可能以同样的方式建立,因此,SCA在包含的基本特征的基础上,进一步调用源代码分析器分析那些特殊的应用、组件或Web服务。

    3.适应你的环境

    SCA已建得可以适应你的组织的环境。它的规模可以从每天的日常编译到全面的审计数百万行的代码,同时它还支持一系列语言、平台、编译环境和集成开发环境(IDE)。由于目标不同可由个人或团体来调用不同的分析标准。由于应用程序需要独特的规则,SCA提供了一个方便易用的Rules Builder,用户可以自定义分析。SCA提供了巨大的灵活性,以满足任何额外的要求。

    特 色 优 点
    规则的开发和管理现在集成到了审计工作台 规则写入向导:让用户通过回答一系列的问题来快速创建自定义规则集,这些问题是依据独特的编码标准或针对代码中的问题而设计的专有的库
    规则包管理:Fortify SCA管理规则包的界面使用户能够很快地概要地了解一个规则包并且允许快速筛选、排序和编辑规则
    规则编辑器:针对高级用户,Fortify的XML编辑器为自定义的规则提供语法高亮显示、代码完成、确认和内置错误的报告
    观察API扫描情况:Fortify SCA提供了一个界面,以展示在一个项目中所使用的各种不同的API并对没有被Fortify的安全编码规则包(Fortify Secure Coding Rulepacks)所覆盖的API进行高亮显示。从这个界面中,用户可以轻松地为相关的API创建新的自定义规则
    审 计
    审计工作台 审计工作台快速和有效的分类、审查和审计:多种排序、过滤和组织的功能可以使重要的问题成为关注的焦点。包括AuditGuide技术以便有效地基于软件的结构和组件的细节将问题划分优先次序。
    审计能力 问题评论过程:审计员和开发者的意见是有时间戳标记的且以用户名作为标记,并为每个问题提供一个活动的时机并方便关键利益相关者进行讨论。
    审计历史:在一个问题上执行的每一个行动都记录在时间表上,包括时间戳、执行这个操作的人的用户名
    自定义问题的标签:开发者和安全审计员能够定义或添加自定义问题的属性从而有助于对问题进行分类和跟踪
    与人工审计相集成:在人工代码审计或其它形式的安全测试期间发现的问题能够被集成到审计工作台。到目前为止,所有代码级的安全性问题都可以合并到Fortify SCA分析器
    对问题划分优先级:Fortify SCA有对问题划分优先级的能力,这大大降低了审计时间并提高了审计员的效率。具体而言,通过使用Fortify SCA,用户可以:
    ——基于组织的目录对问题进行分类。
    ——创建自定义的问题文件夹并通过创建过滤器来自动将特定类型的问题放到文件夹中,或将某些问题放到一起
    分 析
    全面的源代码分析引擎 独特而强大的分析技术,利用专门的引擎检测各种各样的漏洞
    数据流引擎:使用正在申请专利的X-Tier Dataflow analysis跟踪输入的污点数据如何访问应用程序的架构层次和编程语言的边界
    语义分析引擎:探测那些易受攻击的功能或程序,并理解它们的背景
    控制流分析引擎:准确地跟踪业务运行的先后顺序,来发现不适当的代码结构。
    配置分析引擎:在相互作用的配置与代码中跟踪安全漏洞
    结构分析引擎:从代码结构上确定漏洞和问题
    分析技术 程序间的控制流:Fortify的控制流分析已经增强了程序间的算法以在整个代码基础上提供深入分析
    缓冲区溢出的分析:Fortify SCA部署了一个特殊的分析器来检测缓冲区溢出——C/C++代码中最大的安全问题
    偏差分析:Fortify SCA查看缺陷统计,在代码的基础上通过检测偏差的情况来发现严重的缺陷
    不可行路径分析:基于代码执行一个单独的分析,以寻找和消除那些可能会导致误报的虚假路径
    无限多维的污点传播:这种能力有助于找到细微可利用的bug,这在寻找隐私数据管理失败和PCI相关错误时特别有用
    基于强制的脆弱性排名:从代码中提取一套Boolean约束方程并使用约束求解,以对一个不良的编码实践被利用的可能性进行排名
    联合的故障诊断:通过将遵循相同的代码模式的结果进行关联,用户可以消除整类的误报
    审计指南:消除误报的能力是基于程序员所阐述的设计决定
    报 告
    重新设计报告:在审计工作台(Audit Workbench)和IDE上处理的所有报告允许进行重新设计以提高报告的灵活性
    报告向导:通过Fortify SCA,用户能快速控制报告中的数据并自定义报告中问题的组织方式
    报告格式:所有的报告可以导出为PDF、HTML、XML和RTF格式
    协作
    团队服务器(Team Server) 协作审计:团队成员可以公布源代码扫描的结果到一个基于Web的应用程序上,以便对问题进行审查、评论和分类
    代码导航:团队服务器(Team Server)基于其HTML界面,支持强大的代码导航功能。用户可以方便地浏览与问题关联的文件,并在文件中以高亮的方式显示,并检查分析代码内部的假设
    合并SCA扫描:后续的扫描上传到团队服务器(Team Server)并将并入现有的扫描。问题便可以进行新的分组,可以又快又容易地确定现有的和已删除的问题进展
    易于安装:团队服务器(Team Server)很容易部署到开发团队并且不需要一个单独的数据库或应用程序服务器
    开 发
    准确和精确的分析:分析器在超过150种漏洞分类规则的基础上识别安全漏洞,Fortify Software的安全专家们正不断地扩大和自动更新分析器确定安全漏洞的规则。Fortify SCA对确定的漏洞进行分类和确定优先级,以提供一个详细和正确的行动计划
    开发模式: Fortify SCA现在支持以开发者为中心的模式,以便把重点放在众所周知的质量问题上,如空指针的废弃、内存泄漏等
    支持多种编程语言、 IDE和操作系统:Fortify SCA支持各种不同的开发环境、开发语言、平台和框架,支持在混合的软件开发和产品环境中进行安全审查
    容易集成到编译环境中:Fortify SCA与编译环境的一体化使入门快速而简便。与编译功能的无缝衔接特性,使IDE的集成和命令行界面保持与编译环境的简洁的一体化
    集 成
    与Fortify Manager的集成 Fortify SCA的结果可以集成到Fortify Software,基于Web的报告与控制的控制台,作出调查结果和metrics图,包括项目的趋势,在一批项目中进行比较的结果、以及其它对利益相关者有用的信息。
    与黑盒安全测试的集成 Fortify SCA与领先的黑盒安全性测试相集成,以提高黑盒测试的成效,并进一步划分安全问题的优先级以便于修复
    与FindBugs集成 Fortify SCA与领先的开放源代码的Java的bug-finding相集成,以帮助节省通过集中式报告审查安全和质量缺陷的时间
    交互式的数据流图 基于UML的标准提供更好的可读性使开发者可以方便的寻找、点击代码
    规则的开发和管理
    Rules Builder提供扩展和定制功能 Fortify SCA的Rules Builder增强和扩大了Fortify SCA的引擎。根据您的情况或环境自定义规则,可以为您提供更好的结果

    展开全文
  • 静态源代码安全检测工具比较1. 概述随着网络的飞速发展,各种网络应用不断成熟,各种开发技术层出不穷,上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时,安全问题也变得...

    静态源代码安全检测工具比较

    1. 概述

    随着网络的飞速发展,各种网络应用不断成熟,各种开发技术层出不穷,上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时,安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站,如何保证网站的安全成为一个非常热门的话题。

    根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而由NIST的统计显示92%的漏洞属于应用层而非网络层。因此,应用软件的自身的安全问题是我们信息安全领域最为关心的问题,也是我们面临的一个新的领域,需要我们所有的在应用软件开发和管理的各个层面的成员共同的努力来完成。越来越多的安全产品厂商也已经在考虑关注软件开发的整个流程,将安全检测与监测融入需求分析、概要设计、详细设计、编码、测试等各个阶段以全面的保证应用安全。

    对于应用安全性的检测目前大多数是通过测试的方式来实现。测试大体上分为黑盒测试和白盒测试两种。黑盒测试一般使用的是渗透的方法,这种方法仍然带有明显的黑盒测试本身的不足,需要大量的测试用例来进行覆盖,且测试完成后仍无法保证软件是否仍然存在风险。现在白盒测试中源代码扫描越来越成为一种流行的技术,使用源代码扫描产品对软件进行代码扫描,一方面可以找出潜在的风险,从内对软件进行检测,提高代码的安全性,另一方面也可以进一步提高代码的质量。黑盒的渗透测试和白盒的源代码扫描内外结合,可以使得软件的安全性得到很大程度的提高。

    源代码分析技术由来已久,Colorado 大学的 Lloyd D. Fosdick 和 Leon J. Osterweil 1976 年的 9 月曾在 ACM Computing Surveys 上发表了著名的 Data Flow Analysis in Software Reliability,其中就提到了数据流分析、状态机系统、边界检测、数据类型验证、控制流分析等技术。随着计算机语言的不断演进,源代码分析的技术 也在日趋完善,在不同的细分领域,出现了很多不错的源代码分析产品,如 Klocwork Insight、Rational Software Analyzer 和 Coverity、Parasoft 等公司的产品。而在静态源代码安全分析方面,Fortify 公司和 Ounce Labs 公司的静态代码分析器都是非常不错的产品。对于源代码安全检测领域目前的供应商有很多,这里我们选择其中的三款具有代表性的进行对比,分别是 Fortify公司的Fortify SCA,Security Innovation公司的Checkmarx Suite和Armorize公司的CodeSecure。

    2. 工具介绍

    2.1. Fortify SCA(Source Code Analysis)

    Fortify Software公司是一家总部位于美国硅谷,致力于提供应用软件安全开发工具和管理方案的厂商。Fortify为应用软件开发组织、安全审计人员和应用 安全管理人员提供工具并确立最佳的应用软件安全实践和策略,帮助他们在软件开发生命周期中花最少的时间和成本去识别和修复软件源代码中的安全隐患。 Fortify SCA是Fortify360产品套装中的一部分,它使用fortify公司特有的X-Tier Dataflow™ analysis技术去检测软件安全问题。

    优点:目前全球最大静态源代码检测厂商、支持语言最多

    缺点:价格昂贵、使用不方便

    2.2. Checkmarx CxSuite

    Checkmarx 是以色列的一家高科技软件公司。它的产品CheckmarxCxSuite专门设计为识别、跟踪和修复软件源代码上的技术和逻辑方面的安全风险。首创了以查询语言定位代码安全问题,其采用独特的词汇分析技术和CxQL专利查询技术来扫描和分析源代码中的安全漏洞和弱点。

    优点:利用CxQL 查询语言自定义规则

    缺点:输出报告不够美观、语言支持种类不全面

    2.3. Armorize CodeSecure

    阿码科技成立于2006年,总部设立于美国加州圣克拉拉市,研发中心位于台湾的南港软件工业园区。阿码科技提供全方位网络安全解决方案,捍卫企业免于受到黑客利用 Web 应用程序的漏洞所发动的攻击。阿码科技 CodeSecure可有效地协助企业与开发人员在软件开发过程及项目上线后找出 Web 应用程序风险,并清楚交代风险的来龙去脉 (如何进入程序,如何造成问题) 。CodeSecure内建语法剖析功能无需依赖编译环境,任何人员均可利用 Web操作与集成开发环境双接口,找出存在信息安全问题的源代码,并提供修补建议进行调整。CodeSecure依托于自行开发的主机进行远程源代码检 测,在保证速度稳定的同时方便用户进行Web远程操作。

    优点:Web结合硬件,速度快、独具特色的深度分析

    缺点:支持语言种类较少、价格不菲

    3. 对比

    Fortify SCA简写为SCA,Checkmarx CxSuite简写为CxSuite,Armonize CodeSecure简写为CodeSecure。

    SCACxSuiteCodeSecure
    厂商Fortify SoftwareCheckmarx阿码科技
    支持语言Java,JSP,ASP.NET,C#,VB.NET,C,C++,COBOL,ColdFusion,Transact-SQL,PL/SQL,JavaScript/Ajax,Classic,ASP,VBScript,VB6,PHPJAVA、ASP.NET(C#、VB.NET)、JavaScript、Jscript、C/C++、APEXASP.NET(C#、VB.NET)、ASP、JAVA、PHP
    风险种类400种300种参考CWE
    风险类型参考来源CWE、OWASPCWE、OWASPCWE、OWASP
    漏报率最低
    误报率稍高
    是否支持SaaS
    软硬件类型纯软件纯软件Web结合硬件设备
    运行平台无限制WindowsNET Framework 2.0无限制
    运行速度取决于电脑配置速度不定取决于电脑配置速度不定由主机配置决定速度恒定
    报告格式PDFPDF、XML、CSV、HTMLWeb、PDF
    报告内容完整按照风险级别不同分为多个文件核心内容完整扫描信息等缺失非常完整但修改建议放于最后
    报价100万/软件70万/软件100万/软硬件
    性价比

    从软件支持的源代码语言上来说,Fortify SCA(下文简称SCA)支持多达17种语言,Checkmarx CxSuite(下文简称CxSuite)其次,而Armonize CodeSecure(下文简称CodeSecure)在三款软件中支持的最少,仅仅支持几种最常见语言,不过这几种基本涵盖了绝大多数应用中使用的编程语言,基本上可以支持现在大多数应用的源代码扫描。

    从风险的分类来说,各个厂商都有其自己独特的分类方式和不同的种类数量,不过从实际应用中可以看出,总体上仍为OWASP公布的几类风险,如SQL注入、跨站脚本等,已经可以满足实际中开发人员和测试人员的需求,对于各个厂商不同的部分,一般来说主要的区别在于理解不同,看问题的角度不同,并无谁错谁对之原则性问题。

    从运行平台 的角度,CodeSecure这个产品目前看来已经将SaaS的理念很好的融合进来,整个软件的操作界面为Web方式,用户可以通过网页进行操作,B/S 的方式可以将操作系统的影响降到最低,只要有一台可以上网的电脑和浏览器,无论什么操作系统都可以使用CodeSecure远程进行源代码扫描,CodeSecure依托的是一台Armonize自行研制的主机,使用硬件设备的好处在于可以适用于多种场合,不会因为测试人员或是开发人员的电脑配置影响扫描速度,扫描的速度完全取决于主机的性能。而SCA和CxSuite主要还是单机软件,但目前也在不断地向SaaS的方向进行过渡,并且提供了相当全面的贯彻整个软件开发流程(SDLC)的解决方案与服务给用户。其中CxSuite这个产品标明了使用该软件的硬件配置,为Windows操作系统 和.NET框架,这个产品目前应该为利用.NET框架进行开发,所以运行环境有一定的局限性。同时,SCA和CxSuite因为是单机软件,一方面在使用 前需要安装,另一方面其运行速度取决于运行软件的电脑性能,对于使用该软件的电脑配置有一定的要求。

    三种产品都使用了各自的技术对于威胁进行检测,SCA使用的是已获得专利的X-Tier™数据流分析器,这三种产品中只有CxSuite声称可以达到零误报率,因为 其对于风险的理解是风险必须在外形上呈现出来才被考虑为实际的风险,这种理解方式可以说是别出心裁,从代码安全的角度来说,检测的目的是为了发现问题并及时改正,同时要针对于最关键的问题进行改正,这也是这三款软件都包含TOP X的统计的目的,从这一点上讲,CxSuite的风险报告是非常谨慎的。SCA在以前的使用中发现有一定的误报率,不过换个角度想,误报相比漏报是可以容 忍的,规则越严格,误报率就会相应的上升而漏报率就会相应的下降,源代码检测工具目前均为静态的进行代码的扫描,即所有的检测均是按照“规则”来进行,任 何一款产品都不可能达到真正的零误报、零漏报。所以可以说SCA的规则检查稍显简单,CxSuite和CodeSecure的检查比较谨慎。

    而从漏报率上来看,谨慎的查找势必会导致漏报率的提升,这一点上SCA和CodeSecure只说明了低漏报率,而CxSuite内部包含了一种类似于C#称为 CxQL的查询语言,支持使用这种语言进行查询,方便用户进行特定的查找。另两款软件使用的都是规则的方式,其本质上应该是相类似的,这一点上规则似乎更 容易被用户接收,但是CxQL的方式确实增强了用户的操作性。

    从结果输出 上来说,三款软件都支持多种输出方式,而作为报告PDF格式可以说是最书面的一种格式。在这一点上,三款软件输出格式略有不同。

    SCA报告构成如下:扫描概述、按风险的分类进行详细描述,包括每个风险的发现位置,代码上下文,风险源和风险输出,以及改进方法,各类风险描述之后是按照风险类别 的所有风险的统计和按照风险等级的统计图表。SCA的每种类型的文件生成一个PDF文件,便于用户对于风险严重程度的不同采取不同的策略。

    CxSuite 报告构成如下:风险按照不同分类方式的统计图、风险的数据统计情况、风险最高的文件TOP 10、按照类别进行风险详述,包括风险的名称、描述、常见危害、在软件开发各阶段的相应处理方式、详细示例,列举每一个风险的传输路径和相应位置代码。

    CodeSecure 报告构成如下:目录、重点精华,包括检测信息、弱点密度规范分布趋势、弱点最多的文件TOP 5,弱点索引,弱点的详细信息,包括弱点的全程跟踪,最后是弱点信息及修改建议、所有的进入点。

    三款软件的 报告中以SCA的最有特色,将不同级别的风险分文件显示对于程序员进行修改是极为方便的;CodeSecure的报告最为规范,整个文档包括目录,结构完 整,唯一的不足是将风险的修改建议放在了最后,查阅有些不便;CxSuite的内容可以说是最概要的,只包含了风险的最关键内容,对于程序员来说应该是最 简洁的。

    4. 总结

    这三款静态源代码扫描工具都有其各自特色,SCA支持的语言多达17种,基本上涵盖了绝大多数的应用,具有相 当广泛的适用性,但同时也使得其价格非常昂贵;CxSuite支持的语言包括常见Web应用的语言,适用范围基本上包括了大部分的应用,其使用独创的语言来自定义规则非常有特色,价格较之SCA有一定的优势;CodeSecure支持的语言较少,不过基本上可以适用于当前大多数的B/S结构应用,它是唯一 的软硬件结合的产品,在免除用户安装步骤的同时将扫描运行于特定设备之上,有助于提高运行速度,也因为包括硬件的缘故,其价格不菲。

    SCA极广的适用性使其适用于横跨多种语言的开发和测试人员,CxSuite的较高性价比使其适于基于Web 的开发人员和测试人员,CodeSecure稳定的速度和B/S的独特结构使得Web开发或测试的多人同时使用变得极为方便。

    随着应用的安全性越来越受到人们的重视,静态源代码扫描和动态扫描将逐渐融合,未来将会有更多更优秀的源代码扫描工具诞生,让我们拭目以待吧。

    附录A 其他静态源代码检测产品

    公司产品支持语言
    art of defenceHypersourceJAVA
    CoverityPreventJAVA .NET C/C++
    开源FlawfinderC/C++
    GrammatechCodeSonarC/C++
    HPDevInspectJAVA
    KlocWorkInsightJAVA .NET C/C++,C#
    Ounce LabsOunce 6JAVA .NET
    ParasoftJTEST等JAVA .NET C/C++
    SofCheckInspector for JAVAJAVA
    University of MarylandFindBugsJAVA
    VeracodeSecurityReviewJAVA .NET
     FindBug
    PMD/Lint4
    展开全文
  • 在静态源代码检测工具方面,国内很多公司在研发产品,包括北大软件CoBOT、奇虎测腾的代码卫士、360企业代码卫士、清华大学软件学院Tsmart代码分析工具集、腾讯TscanCode开源静态扫描工具,端玛企业级静态源代码扫描...

           在静态源代码检测工具方面,国内很多公司在研发产品,包括北大软件CoBOT、奇虎测腾的代码卫士、360企业代码卫士、清华大学软件学院Tsmart代码分析工具集、腾讯TscanCode开源静态扫描工具,端玛企业级静态源代码扫描分析平台DMSCA、找八哥源代码安全检测系统等。

           知名度比较高的可能是360的代码卫士,借助其公司品牌和免费杀毒软件等宣传,行业内知名度较高,但是工具本身可能并不如其品牌。目前产品比较成熟,推广较多的是北大软件的CoBOT,借助北京大学平台,在军方、政府、科院院所推广相对较多。奇虎测腾是奇安信旗下公司,代码卫士与360企业代码卫士名称很接近,不知道两个公司之间的关系。360开拓市场主要方法是通过分析一些知名企业、框架的代码,找到漏洞,进行宣传,同时与开源中国等网站进行合作,提升市场知名度。清华大学的Tsmart目前正在研发之中,可能主要是做一些国家课题为主,目前还在融资之中,清华大学下属企业中可能还没有企业认识到这方面的重要性,社会资本由于对该行业不了解,加上又是一个很细分的市场,可能也不会引入资金。腾讯对软件代码分析和成分分析认识比较早,在软件成分方面推出了哈勃分析系统,能够对多种文件类型进行在线成分分析,免费试用提供的信息相对比较少,不知道收费版本能够分析到何种程度。代码成分分析工具,未来在软件领域也应该是一个蓝海,据说,北大CoBOT团队的代码成分分析系统也即将发布。国内,能够分析二进制程序的工具几乎是空白,腾讯哈勃能够分析出PE代码中成分信息,应该是无法分析出缺陷和安全漏洞,目前北大CoBOT在二进制缺陷和安全漏洞分析上,应该正在突破,有望在2020年切入民用市场。端玛DMSCA产品在官网能看到的信息不多,提供的有价值信息少,支持开发语言、标准也还可以,不知道具体如何。找八哥是思客云公司的产品,通过介绍来看,应该是采用C#等windows平台上的开发语言开发的BS架构工具,支持的检测语言比较多,支持安全漏洞比较多,可能不是采用的主流检测引擎技术,检测效率上比较慢。

           随着国际环境的日益复杂,科技战影响到今后几年甚至更远的国家发展战略,国产软件,尤其是一些需要更多底层技术的软件工具、平台,也是需要大力发展的一个方面。针对源代码的缺陷检测、安全检测、开源代码成分分析、二进制文件木马和漏洞分析等市场看好,为了该领域的竞争越来越厉害,国外检测工具市场份额将减少,有可能逐渐退出国内市场。

        (完)

     

    展开全文
  • Coverity代码静态检测工具介绍

    千次阅读 2019-08-09 09:51:20
    Coverity代码静态检测工具介绍 ...
  • 代码缺陷检测工具选型(1)

    千次阅读 2019-04-21 09:50:17
    在源代码静态分析和缺陷检测方面,目前市场上主要有Coverity、Checkmarx、Klockwork和CoBOT。...笔者的企业正好在筹备引进源代码缺陷检测工具,所以有机会就四款工具进行了对比验证。截止今天只使用两款工具Checkma...
  • Bandit这款工具可以用来搜索Python代码中常见的安全问题,在检测过程中,Bandit会对每一份Python代码文件进行处理,并构建AST,然后针对每一个AST节点运行相应的检测插件。完成安全扫描之后,Bandit会直接给用户生成...
  • 代码漏洞检测工具整理

    千次阅读 2012-06-15 10:55:29
    PCLintPC-Lint 是GIMPEL SOFTWARE 公司研发的C/C++软件代码静态分析工具,他的全称是PC-Lint/FlexeLint for C/C++。PC-Lint 能够在Windows、MS-DOS 和OS/2 平台上使用,以二进制可执行文档的形式发布,而FlexeLint ...
  • FOne CodeSec代码泄露检测工具

    千次阅读 2020-05-25 15:34:44
    对于IT类企业,代码泄露是典型的信息安全事故,主要表现为项目源代码等资料被泄露到网上。代码泄露会导致核心技术机密泄露、客户资料泄露等情况发生,给企业带来经济损失或法律纠纷,因此避免信息泄露很有必要。 ...
  • QT调试技巧-使用静态代码检测工具Cppcheck检测代码 如需转载请标明出处:http://blog.csdn.net/itas109 QQ技术交流群:12951803 环境: Qt Creator版本:4.0.3 Qt版本:5.6.2 Cppcheck版本:...
  • 好的代码一定是整洁的,并且能够帮助阅读的人快速理解和定位。好的代码可以加快应用的开发迭代速度,不必花过多的时间来修复 bug 和完善代码。好的代码不但能够使得新的项目成员更容易加入项目,...
  • Rails安全检测工具之Brakeman介绍

    千次阅读 2016-05-16 22:03:00
    本篇文章主要介绍一下Rails最常用的安全检测工具Brakeman的特点以及其使用方法。
  • Windows下 C++代码检测工具

    千次阅读 2019-07-06 12:53:22
    最近在查阅一些windows系统下的C++代码及性能检测工具, 按照检测类别分别静态检测和动态检测。 静态检测: 在程序没有被实际执行的情况下执行的计算机软件分析,大部分是对源代码的分析和检测。 动态检测: 通过...
  • 移动安全之Android安全检测工具大全

    万次阅读 2016-10-20 19:54:20
    Appie – 轻量级的软件包, 可以用来进行基于Android的渗透测试, 不想使用VM的时候可以尝试一下.Android Tamer – 可以实时监控的虚拟环境, 可以用来进行一系列的安全测试, 恶意软件检测, 渗透测试和逆向分析等....
  • 静态代码检测工具对比(Java)

    千次阅读 2011-02-11 14:28:00
    静态代码检测工具对比(Java)
  • Android应用安全检测工具简介 1、测试工具集 Appie – 轻量级的软件包, 可以用来进行基于Android的渗透测试, 不想使用VM的时候可以尝试一下. Android Tamer – 可以实时监控的虚拟环境, 可以用来进行一系列的...
  • 【Tools】Coverity代码静态检测工具

    千次阅读 2018-01-13 16:45:18
    Coverity静态分析工具的功能很强大,超乎我的期望。主要功能如下: 列出不会被执行到的代码列出没被初始化的类成员变量列出没有被捕获的异常列出没有给出返回值的return语句某个函数虽然有返回值,但调用该函数的...
  • 国内的静态代码安全扫描工具好。国外的静态代码安全扫描产品检测能力比较优先,技术能力比较强,对新的技术,新的安全漏洞检测手段应用的比较好。但主要就是售后支持不太好,要让他们给你改个需求,定制个功能,几乎...
  • phpscan 扫描PHP木马 网站安全检测工具

    千次下载 热门讨论 2011-08-08 17:33:41
    能针对PHP大马,PHP小马,PHP一句话,PHP执行命令,UDF提权,危险SQL语句,COM组件调用,危险上传,越权,等后门进行扫描。 特点: ...4.高效的PHP代码,速度相当的快,一分钟可扫描100000个以上的文件。
  • 受自己阅历和工作经验,项目工期的影响,很多时候我们检查自己的代码很难发现错误(不知道大家有没有这个感觉),或者我们不觉着这块代码有问题,这时候就需要用到“静态代码检测工具”,Andro...
  • Android静态安全检测 -> 代码混淆检测

    千次阅读 2016-07-21 20:14:36
    代码混淆检测 - 类名替换 1. 代码混淆简介 内容介绍 混淆是一种用来隐藏程序意图的技术,可以增加代码阅读的难度,使攻击者难以全面掌控app内部实现逻辑,从而增加逆向工程和破解的难度 主要工作 ...
  • Fortify SCA 源代码安全测试工具-----介绍    关于fortify成立于2003年的Fortify Software是全球领先的软件安全产品解决方案供应商。Fortify Software软件产品主要包括业界最优秀的软件安全源代码扫描器,业界...
  • Converity代码静态安全检测

    千次阅读 2017-12-01 10:23:38
    最近公司在推行代码Security检查,使用了Converity代码静态检测工具。功能很强大,超乎我的期望。主要功能如下: 列出不会被执行到的代码列出没被初始化的类成员变量列出没有被捕获的异常列出没有给出返回值的...
  • Coverity 代码静态安全检测

    千次阅读 2018-03-26 10:41:24
    使用了Coverity代码静态检测工具。功能很强大,超乎我的期望。主要功能如下:列出不会被执行到的代码列出没被初始化的类成员变量列出没有被捕获的异常列出没有给出返回值的return语句某个函数虽然有返回值,但调用该...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 172,555
精华内容 69,022
关键字:

代码安全检测工具