應(yīng)用安全開(kāi)發(fā)(Application Security Development,下文中也叫 Xcheck)為您提供優(yōu)質(zhì)的代碼分析服務(wù)。Xcheck 憑借優(yōu)秀的算法和工程實(shí)現(xiàn),能在極低的誤報(bào)率和漏報(bào)率前提下,以極快的速度發(fā)現(xiàn)代碼中存在的安全漏洞。Xcheck 采用私有化部署的模式,所以產(chǎn)品使用的整個(gè)生命周期,源碼都不會(huì)流出公司網(wǎng)絡(luò),杜絕源碼泄露風(fēng)險(xiǎn)。
“缺陷是天生的,漏洞是必然的”。統(tǒng)計(jì)數(shù)據(jù)表明,程序員每寫(xiě)1000行代碼,就會(huì)出現(xiàn)1個(gè)邏輯性缺陷,這是無(wú)可避免的概率問(wèn)題,解決方法之一就是對(duì)代碼進(jìn)行檢測(cè)。
作為直接對(duì)源代碼進(jìn)行檢查的白盒檢測(cè)產(chǎn)品,Xcheck可作為獨(dú)立的代碼審計(jì)平臺(tái),用戶(hù)可以通過(guò) Web 頁(yè)面來(lái)使用;也可以可以通過(guò)API、命令行工具進(jìn)行調(diào)用,Xcheck支持包括代碼倉(cāng)庫(kù)以及缺陷管理系統(tǒng)的對(duì)接,提供常見(jiàn)CI/CD平臺(tái)插件、本地 IDE 插件。目前已深度支持GitLab、JenKins、CODING、藍(lán)鯨等DevOps平臺(tái)。
Xcheck依托污點(diǎn)追蹤引擎、規(guī)則匹配引擎雙引擎架構(gòu),速度快、誤報(bào)低,非常適合在DevOps流水線場(chǎng)景集成使用,且支持多種語(yǔ)言種類(lèi),其靈活拓展能力便于用戶(hù)自定義運(yùn)營(yíng)規(guī)則,覆蓋風(fēng)險(xiǎn)類(lèi)型包括SQL注入、命令注入等符合污點(diǎn)傳播模型的安全風(fēng)險(xiǎn),以及錯(cuò)誤配置類(lèi)、硬編碼類(lèi)、敏感信息泄露類(lèi)多種安全風(fēng)險(xiǎn)類(lèi)型,可滿(mǎn)足用戶(hù)不同場(chǎng)景需求。
在技術(shù)創(chuàng)新方面,Xcheck擁有一套自研的代碼分析模糊解析器,無(wú)需依賴(lài)編譯,便可將代碼快速轉(zhuǎn)換成抽象語(yǔ)法樹(shù),解析速度大幅提升,同時(shí),其精細(xì)化模型核心檢測(cè)算法已經(jīng)過(guò)每年數(shù)百萬(wàn)次任務(wù)的打磨,可準(zhǔn)確找到污點(diǎn)的傳播路徑。
在產(chǎn)品核心優(yōu)勢(shì)方面,Xcheck可精確識(shí)別各種語(yǔ)言特性,掃描速度達(dá)到每秒千行到萬(wàn)行,是同類(lèi)產(chǎn)品的幾十倍;同時(shí)檢出高、誤報(bào)低,針對(duì)符合污點(diǎn)傳播模型的漏洞,其誤報(bào)率低于10%;此外靈活強(qiáng)大的擴(kuò)展易編寫(xiě)、可調(diào)試,可批量降低漏報(bào)誤報(bào)。
產(chǎn)品特性
低誤報(bào)
Xcheck 能夠精確理解不同語(yǔ)言的語(yǔ)法特性,從而基本解決了因?yàn)椴焕斫獯a而造成的誤報(bào)。此外,Xcheck 能夠識(shí)別用戶(hù)自定義的安全防護(hù)措施,從而進(jìn)一步降低誤報(bào)。
低漏報(bào)
Xcheck 已經(jīng)針對(duì)主流框架和風(fēng)險(xiǎn)函數(shù)內(nèi)置了豐富的規(guī)則;另外,針對(duì)未支持的框架和函數(shù),還可以通過(guò)自定義規(guī)則補(bǔ)充對(duì)應(yīng)的識(shí)別能力。
速度快
Xcheck 擁有一套優(yōu)秀的代碼分析算法,在保證精準(zhǔn)分析的前提下,解決了傳統(tǒng)靜態(tài)分析工具效率低的問(wèn)題。
應(yīng)用場(chǎng)景
代替人工,自動(dòng)分析代碼中存在的安全漏洞
作為代碼安全質(zhì)量檢測(cè)門(mén)禁接入流水線,保證每次發(fā)布的代碼沒(méi)有已知類(lèi)型的安全漏洞
