返回
静态源代码安全检测工具比较

静态源代码安全检测工具比较

ID:14627225

大小:235.74 KB

页数:7页

时间:2018-07-29

静态源代码安全检测工具比较_第1页
静态源代码安全检测工具比较_第2页
静态源代码安全检测工具比较_第3页
静态源代码安全检测工具比较_第4页
静态源代码安全检测工具比较_第5页
资源描述:

《静态源代码安全检测工具比较》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、静态源代码安全检测工具比较1.概述    随着网络的飞速发展,各种网络应用不断成熟,各种开发技术层出不穷,上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时,安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站,如何保证网站的安全成为一个非常热门的话题。    根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而由NIST的统计显示92%的漏洞属于应用层而非网络层。因此,应用软件的自身的安全问题是我们信息安全领域最为关心的问题,也是我们

2、面临的一个新的领域,需要我们所有的在应用软件开发和管理的各个层面的成员共同的努力来完成。越来越多的安全产品厂商也已经在考虑关注软件开发的整个流程,将安全检测与监测融入需求分析、概要设计、详细设计、编码、测试等各个阶段以全面的保证应用安全。    对于应用安全性的检测目前大多数是通过测试的方式来实现。测试大体上分为黑盒测试和白盒测试两种。黑盒测试一般使用的是渗透的方法,这种方法仍然带有明显的黑盒测试本身的不足,需要大量的测试用例来进行覆盖,且测试完成后仍无法保证软件是否仍然存在风险。现在白盒测试中源代码扫描越来越

3、成为一种流行的技术,使用源代码扫描产品对软件进行代码扫描,一方面可以找出潜在的风险,从内对软件进行检测,提高代码的安全性,另一方面也可以进一步提高代码的质量。黑盒的渗透测试和白盒的源代码扫描内外结合,可以使得软件的安全性得到很大程度的提高。源代码分析技术由来已久,Colorado大学的LloydD.Fosdick和LeonJ.Osterweil1976年的9月曾在ACMComputingSurveys上发表了著名的DataFlowAnalysisinSoftwareReliability,其中就提到了数据流分析

4、、状态机系统、边界检测、数据类型验证、控制流分析等技术。随着计算机语言的不断演进,源代码分析的技术也在日趋完善,在不同的细分领域,出现了很多不错的源代码分析产品,如KlocworkInsight、RationalSoftwareAnalyzer和Coverity、Parasoft等公司的产品。而在静态源代码安全分析方面,Fortify公司和OunceLabs公司的静态代码分析器都是非常不错的产品。对于源代码安全检测领域目前的供应商有很多,这里我们选择其中的三款具有代表性的进行对比,分别是Fortify公司的Fo

5、rtifySCA,SecurityInnovation公司的CheckmarxSuite和Armorize公司的CodeSecure。2.工具介绍2.1.FortifySCA(SourceCodeAnalysis)    FortifySoftware公司是一家总部位于美国硅谷,致力于提供应用软件安全开发工具和管理方案的厂商。Fortify为应用软件开发组织、安全审计人员和应用安全管理人员提供工具并确立最佳的应用软件安全实践和策略,帮助他们在软件开发生命周期中花最少的时间和成本去识别和修复软件源代码中的安全隐患

6、。FortifySCA是Fortify360产品套装中的一部分,它使用fortify公司特有的X-TierDataflow™analysis技术去检测软件安全问题。优点:目前全球最大静态源代码检测厂商、支持语言最多缺点:价格昂贵、使用不方便2.2.CheckmarxCxSuite    Checkmarx是以色列的一家高科技软件公司。它的产品CheckmarxCxSuite专门设计为识别、跟踪和修复软件源代码上的技术和逻辑方面的安全风险。首创了以查询语言定位代码安全问题,其采用独特的词汇分析技术和CxQL专利查

7、询技术来扫描和分析源代码中的安全漏洞和弱点。优点:利用CxQL查询语言自定义规则缺点:输出报告不够美观、语言支持种类不全面2.3.ArmorizeCodeSecure    阿码科技成立于2006年,总部设立于美国加州圣克拉拉市,研发中心位于台湾的南港软件工业园区。阿码科技提供全方位网络安全解决方案,捍卫企业免于受到黑客利用Web应用程序的漏洞所发动的攻击。阿码科技CodeSecure可有效地协助企业与开发人员在软件开发过程及项目上线后找出Web应用程序风险,并清楚交代风险的来龙去脉(如何进入程序,如何造成问题

8、)。CodeSecure内建语法剖析功能无需依赖编译环境,任何人员均可利用Web操作与集成开发环境双接口,找出存在信息安全问题的源代码,并提供修补建议进行调整。CodeSecure依托于自行开发的主机进行远程源代码检测,在保证速度稳定的同时方便用户进行Web远程操作。优点:Web结合硬件,速度快、独具特色的深度分析缺点:支持语言种类较少、价格不菲3.对比FortifySCA简写为SCA

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。