版權聲明：

本文內容由阿里云實名注冊用戶自發(fā)貢獻，版權歸原作者所有，阿里云開發(fā)者社區(qū)不擁有其著作權，亦不承擔相應法律責任。具體規(guī)則請查看《 阿里云開發(fā)者社區(qū)用戶服務協(xié)議》和 《阿里云開發(fā)者社區(qū)知識產(chǎn)權保護指引》。如果您發(fā)現(xiàn)本社區(qū)中有涉嫌抄襲的內容，填寫 侵權投訴表單進行舉報，一經(jīng)查實，本社區(qū)將立刻刪除涉嫌侵權內容。

隨著互聯(lián)網(wǎng)的飛速發(fā)展，各種網(wǎng)絡應用層出不窮，網(wǎng)絡應用已經(jīng)成為人們生活必不可少的一部分，在大家享受網(wǎng)絡應用給人們帶來便利的同時，安全問題頻繁發(fā)生，信息泄露、業(yè)務中斷、敲詐勒索等安全事件屢見不鮮，如何保證互聯(lián)網(wǎng)的安全成為了一個重要的話題。

近年來，大部分安全問題來自于應用層安全，應用層的安全問題主要由軟件源代碼中的安全缺陷所導致。有關源代碼安全的研究越來越多，源代碼安全成為了解決信息安全問題的一個重要方向，也是信息安全中的一個新興領域。

在開發(fā)階段引入代碼檢測解決安全問題的思路開始被很多企業(yè)所認可。源代碼檢測屬于程序分析領域，需要具有相關領域的技術儲備，很多傳統(tǒng)的安全廠商都沒有相關的商業(yè)化技術產(chǎn)品。網(wǎng)上有很多開源的審計工具，但檢測能力、檢測精度較差，本文結合多年對源代碼檢測產(chǎn)品的了解，介紹三款較為成熟的商業(yè)化源代碼檢測產(chǎn)品。

1、 Fortify SCA

Fortify Software公司是一家總部位于美國硅谷，致力于提供應用軟件安全開發(fā)工具和管理方案的廠商。Fortify為應用軟件開發(fā)組織、安全審計人員和應用安全管理人員提供工具并確立最佳的應用軟件安全實踐和策略，幫助他們在軟件開發(fā)生命周期中花最少的時間和成本去識別和修復軟件源代碼中的安全隱患。

Fortify SCA是一個靜態(tài)的、白盒的軟件源代碼安全測試工具，它通過內置的五大主要分析引擎：數(shù)據(jù)流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態(tài)的分析，分析的過程中與它特有的軟件安全漏洞規(guī)則集進行全面地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并給予整理報告。掃描的結果中不但包括詳細的安全漏洞的信息，還會有相關的安全知識的說明，以及修復意見的提供。

Fortify SCA支持Java,JSP,ASP.NET,C#,VB.NET,C,C++,COBOL,ColdFusion,

Transact-SQL,PL/SQL,JavaScript/Ajax,Classic,ASP,VBScript,VB6,PHPjava，jsp多種語言，600多種風險類型，支持CWE/OWASP國際主流標準，交付形態(tài)為純軟件。

2、Checkmarx CxSuite

Checkmarx 是以色列的一家高科技軟件公司。它的產(chǎn)品CheckmarxCxSuite專門設計為識別、跟蹤和修復軟件源代碼上的技術和邏輯方面的安全風險。首創(chuàng)了以查詢語言定位代碼安全問題，其采用獨特的詞匯分析技術和CxQL專利查詢技術來掃描和分析源代碼中的安全漏洞和弱點。

Checkmarx CxSuite的掃描結果可以以靜態(tài)報表形式展示，也可以通過可以對軟件安全漏洞和質量缺陷在代碼的運行時的數(shù)據(jù)傳遞和調用圖跟蹤的代碼缺陷的全過程，同時還可以提供對安全漏洞和質量缺陷進行修復提供指導建議。也可以對結果進行審計，從而消除誤報。

Checkmarx CxSuite支持JAVA、ASP.NET(C#、VB.NET)、JavaScript、Jscript、C/C++、APEX等語言，500多種風險類型，支持CWE/OWASP國際主流標準，交付形態(tài)為純軟件。

3、360代碼衛(wèi)士

360代碼衛(wèi)士是360企業(yè)安全集團基于多年源代碼安全實踐經(jīng)驗推出的新一代源代碼安全檢測解決方案，包括源代碼缺陷檢測、合規(guī)檢測、溯源檢測三大檢測功能，同時360代碼衛(wèi)士還可實現(xiàn)軟件安全開發(fā)生命周期管理，與企業(yè)已有代碼版本管理系統(tǒng)、缺陷管理系統(tǒng)、構建工具等無縫對接，將源代碼檢測融入企業(yè)開發(fā)流程，實現(xiàn)軟件源代碼安全目標管理、自動化檢測、差距分析、Bug修復追蹤等功能，幫助企業(yè)以最小代價建立代碼安全保障體系并落地實施，構筑信息系統(tǒng)的“內建安全”。

代碼衛(wèi)士目前支持Windows、Linux、Android、Apple iOS、IBM AIX等平臺上的代碼安全檢測，支持的編程語言涵蓋C/C++/C#/Objective-C/Java/JSP/JavaScript/PHP/Python/Cobol等主流語言。在軟件代碼缺陷檢測方面，代碼衛(wèi)士支持24大類，700多個小類代碼安全缺陷的檢測，兼容國際CWE、ISO/IEC 24772、OWASP Top 10、SANS Top 25等標準和最佳實踐;在軟件編碼合規(guī)檢測方面，代碼衛(wèi)士可支持US CERT C/C++/Java安全編碼規(guī)范的檢測，并可根據(jù)用戶需求進行靈活定制;在開源代碼溯源檢測方面，代碼衛(wèi)士可支持80000多個開源代碼模塊識別，28000多個開源代碼漏洞的檢測。

4、對比分析

三大檢測工具是目前為止源代碼檢測領域的領軍產(chǎn)品，對比情況如下：

這三款靜態(tài)源代碼掃描工具都有其各自特色，SCA支持的語言多達20多種，基本上涵蓋了絕大多數(shù)的應用，具有相當廣泛的適用性，但同時也使得其價格非常昂貴;CxSuite支持的語言包括常見Web應用的語言，適用范圍基本上包括了大部分的應用，其使用獨創(chuàng)的語言來自定義規(guī)則非常有特色，價格較之SCA有一定的優(yōu)勢;360代碼衛(wèi)士是國內首款源代碼審計商業(yè)化產(chǎn)品，檢測能力多元化，可低成本融入開發(fā)流程，更適合企業(yè)用戶的需求，性價比很高。值得一提的是，隨著國內信息安全產(chǎn)品“自主、可控”原則的推廣，更多的企業(yè)會傾向于本地服務更好的國內源代碼審計產(chǎn)品。

作者：佚名
來源：51CTO

相關知識

關于我省建筑產(chǎn)業(yè)現(xiàn)代化試點期間做好工業(yè)化建筑工程項目招標投標活動的指導意見
代碼健康：有禮貌的審查 == 有用的審查
微商殼聚糖壓片糖果OEM代加工－代加工項目
石柱縣四措并舉優(yōu)化營商環(huán)境推進民營企業(yè)健康發(fā)展
全面解析：三款高效商用制冰機的專業(yè)選擇與技術比較指南
數(shù)十微商代購未過審泰國減肥藥獲刑，仍有人代購
減肥微商代理加盟，五大品牌測評對比
基于SpringBoot Vue健康健身追蹤系統(tǒng) – 計算機源碼
有機食材商業(yè)計劃書
新建超黑糯玉米色素加工項目可行性商業(yè)策劃書.doc(最新資源)

網(wǎng)址: 三款商業(yè)化源代碼審計工具對比 http://www.u1s5d6.cn/newsview881545.html