企业级源代码安全漏洞和质量缺陷扫描分析服务平台—酷探SAST
酷探SAST是一个独特的企业级源代码安全漏洞、质量缺陷和逻辑缺陷扫描分析服务平台。该平台可用于识别、跟踪和修复在源代码中的技术和逻辑上的缺陷,让软件开发团队及测试团队快速、准确定位源代码中的安全漏洞、质量和业务逻辑缺陷等问题,并依据提供的专业中肯的修复建议,快速修复。提高软件产品的可靠性、安全性。同时兼容并达到国际、国内相关行业的合规要求。
酷探SAST支持主流编程语言安全漏洞及质量缺陷扫描和分析,支持客户化平台界面、报告、规则自定义,以满足客户特定安全策略、安全标准和研发运营环境集成的需要。产品从面世,就获得了中国国内众多客户的青睐,这些客户包括但不限于银行、在线支付、保险、电力、能源、电信、汽车、媒体娱乐、软件、服务和军事等行业的财富1000企业。
服务器端组件:
酷探SAST Core Server: 监控Schedule Service,Scan Service,Engine Service三个服务的运行健康指标,如果有服务出现Crash的情况,就重新启动改服务。
酷探SAST scan Server: 接收Schedule Service的请求,根据请求的参数去执行抓取源代码并且提交Engine Service进行漏洞扫描和分析。
酷探SAST schedule Server: 根据用户配置的执行时间,定时调用Scan Service去抓取源代码,并且提交 Engine Service进行源代码分析。
酷探SAST Engine Server: 根据规则对提交的源代码进行漏洞分析,并且将分析结果持久化。
Web Server: 作为数据交换以及业务处理的核心服务,处理用户请求及返回结果。
Web Portal Server: 用户可以通过浏览器设置扫描参数,提交需要扫描的源代码并且生成扫描报告。
客户端组件:
Web浏览器(IE、Chrome。。。)、GIT、SVN、TFS、Eclipse Plugin、 Visual Studio Plugin、JRIA、SDK开发接口及其它第三方组件集成。
产品界面:
主要功能及特性:
操作系统独立。代码扫描不依赖于特定操作系统,只需在在企业范围内部署一台扫描服务器,就可以扫描其它操作系统开发环境下的代码。
编译器独立、开发环境独立,搭建测试环境简单快速且统一。由于采用了独特的虚拟编译器技术,代码扫描不需要依赖编译器和开发环境,无需为每种开发语言的代码安装编译器和测试环境,只需要通过客户端、浏览器、开发环境集成插件登录到we服务器。
工具学习、培训和使用的成本少,最小化影响开发进度。由于编译器、操作系统和开发环境独立,使用者无需去学习每种平台下如何去编译代码,调试代码、如何扫描测试代码,无需去看每种平台下繁琐的使用手则。因为酷探代码扫描系统服务只需要提供源代码即可扫描,并给出精确的扫描结果。
低误报。 酷探SAST企业服务在扫描过程中全面分析应用的所有路径和变量。准确地分析结果,验证可能的风险是否真正导致安全问题,自动排除噪音信息,扫描结果几乎就是最终的分析结果,误报率(False Positive)几乎为零。极大的减少了审计分析的人工劳动成本,极大节省了代码审计的时间,为开发团队赢得更多的开发时间。
安全漏洞覆盖面广且全面 (低漏报)。数以百计的安全漏洞检查适合任于何组织,支持最新的OWASP 、CWE、SANS、PCI、SOX、GDPR、等国际权威组织对软件安全漏洞的定义,同时支持中国国家源代码安全检测标准(GB/T34944-2017 Java、GB/T34943-2017 C/C++、GB/T34946-2017 C#、GBT-39412-2020….)。漏洞覆盖面广,安全检查全面,其自定义查询语言可以让用户灵活制定需要的代码规则,极大的丰富组织特定的代码安全和代码质量的需要。
安全规则自定义简单高效。由于公开了所有规则实现的细节和语法,用户可以快速修改规则或者参考已有的规则语句自定义自己需要规则,规则学习,定义简单高效。能快速实现组织软件安全策略。
业务逻辑和架构风险调查。酷探代码扫描系统服务可以对所有扫描代码的任意一个代码元素(词汇)做动态的数据影响、控制影响和业务逻辑研究和调查。分析代码逻辑和架构特有的安全风险,并最后定义规则精确查找这些风险。这是目前唯一能动态分析业务逻辑和软件架构的静态技术。
攻击路径的可视化,并以3D形式展现。每一个安全漏洞的攻击模式和路径完全呈现出来,以3D图形的方式显示,便于安全问题调查和分析。
支持主流语言:Java、JSP、JavaSript、VBSript、C#、ASP.net、VB.Net、VB6、C/C++、ASP、PHP、Python、Swift、Ruby、Perl、PL/SQL、Android、OWASP ESAPI、MISRA、Objective-C (iOS)、API及第三方语言。
服务独立,全面的团队扫描支持。作为服务器运行。开发人员、管理人员和审计人员都可以凭各自的身份凭证从任何一处登录服务器,进行代码扫描、安全审计、团队、用户和扫描任务管理。
高度自动化扫描任务。自动集成版本管理(SubVersion、TFS、Git、其它)、SMTP邮件服务器和Jenkins、Windows账户管理,实现自动扫描代码更新、自动扫描、自动报警和自动邮件通知等,无缝集成CI/CD DevOPs安全开发和运营。
支持多任务排队扫描、并发扫描、循环扫描、按时间调度扫描,提高团队扫描效率。
云服务实现:支持跨Internet实现源代码安全扫描“云服务”。快速为组织搭建源代码扫描分析服务平台。
支持最佳修复位置建议 ,图形显示最佳修复点,节约问题修复时间和成本。
支持客户化平台定制:定规则、定策略、定界面、定报告、定流程、定规范及接口集成。
