代码安全保障系统
产品亮点
技术先进——保证检测精度
代码卫士基于控制流分析、数据流分析、符号执行、内存精确建模、代码全路径识别等源代码分析技术实现程序DNA图谱分析,最大程度保证源代码检测结果的全面性和准确性。
主流标准——确保检测权威性
代码卫士基于多年源代码安全检测实践经验,兼容CWE、OWASP TOP10、CWE\SANS、CERT C/C++/JAVA等国际主流标准和规范,有效保证源代码检测结果的权威性。
无缝集成——减少实施成本
代码卫士可以与版本管理工具以及缺陷跟踪系统进行联动,无缝集成于开发和测试流程,大幅提高源代码质量。
自主可控——符合国家要求
代码卫士是国产源代码安全检测产品,符合国家信息安全产品“自主、可控”原则。
产品功能
缺陷检测
支持C、C++、C#、Java、PHP、JSP、Python等主流编程语言开发的软件源代码的检测。
支持缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数等13个大类,600多个小类的缺陷检测。
兼容CWE、OWASP Top 10、CWE/SANS TOP25等国际主流缺陷和漏洞列表的检测。
合规检测
支持CERT C/C++/Java安全编码标准。
提供方便的可扩展接口,针对组织和行业特有的代码规范,定制开发自动化检测规则,满足个性化需求。
溯源检测
检测软件中是否引用了开源代码模块。
引用的开源代码模块存在哪些安全漏洞。
安全开发生命周期管理(SDLM)
支持项目安全目标设定。
支持从SVN、GIT等代码版本管理系统中获取源代码进行自动化周期检测。
支持检测结果的差距分析。
支持项目安全趋势分析。
支持检测结果与Bugzilla等Bug管理系统进行整合。
支持审计信息携带,提高缺陷审计效率。
使用场景
外包场景
很多的企业用户把业务系统都外包给软件公司进行开发,在业务系统交付时无法有效验证系统安全性。通过代码卫士对交付时的业务系统进行源代码审计,发现缺陷并修复,提高业务系统软件安全系数。
业务自查
部分企业用户拥有自己的研发团队,在开发过程中,利用源代码审计产品,结合开发工具、缺陷跟踪系统,有效提升软件版本质量,落地整个软件安全开发生命周期管理。
