應(yīng)用安全開發(fā)(Application Security Development,下文中也叫 Xcheck)為您提供優(yōu)質(zhì)的代碼分析服務(wù)。Xcheck 憑借優(yōu)秀的算法和工程實現(xiàn),能在極低的誤報率和漏報率前提下,以極快的速度發(fā)現(xiàn)代碼中存在的安全漏洞。Xcheck 采用私有化部署的模式,所以產(chǎn)品使用的整個生命周期,源碼都不會流出公司網(wǎng)絡(luò),杜絕源碼泄露風(fēng)險。
“缺陷是天生的,漏洞是必然的”。統(tǒng)計數(shù)據(jù)表明,程序員每寫1000行代碼,就會出現(xiàn)1個邏輯性缺陷,這是無可避免的概率問題,解決方法之一就是對代碼進(jìn)行檢測。
作為直接對源代碼進(jìn)行檢查的白盒檢測產(chǎn)品,Xcheck可作為獨立的代碼審計平臺,用戶可以通過 Web 頁面來使用;也可以可以通過API、命令行工具進(jìn)行調(diào)用,Xcheck支持包括代碼倉庫以及缺陷管理系統(tǒng)的對接,提供常見CI/CD平臺插件、本地 IDE 插件。目前已深度支持GitLab、JenKins、CODING、藍(lán)鯨等DevOps平臺。
Xcheck依托污點追蹤引擎、規(guī)則匹配引擎雙引擎架構(gòu),速度快、誤報低,非常適合在DevOps流水線場景集成使用,且支持多種語言種類,其靈活拓展能力便于用戶自定義運(yùn)營規(guī)則,覆蓋風(fēng)險類型包括SQL注入、命令注入等符合污點傳播模型的安全風(fēng)險,以及錯誤配置類、硬編碼類、敏感信息泄露類多種安全風(fēng)險類型,可滿足用戶不同場景需求。
在技術(shù)創(chuàng)新方面,Xcheck擁有一套自研的代碼分析模糊解析器,無需依賴編譯,便可將代碼快速轉(zhuǎn)換成抽象語法樹,解析速度大幅提升,同時,其精細(xì)化模型核心檢測算法已經(jīng)過每年數(shù)百萬次任務(wù)的打磨,可準(zhǔn)確找到污點的傳播路徑。
在產(chǎn)品核心優(yōu)勢方面,Xcheck可精確識別各種語言特性,掃描速度達(dá)到每秒千行到萬行,是同類產(chǎn)品的幾十倍;同時檢出高、誤報低,針對符合污點傳播模型的漏洞,其誤報率低于10%;此外靈活強(qiáng)大的擴(kuò)展易編寫、可調(diào)試,可批量降低漏報誤報。
產(chǎn)品特性
低誤報
Xcheck 能夠精確理解不同語言的語法特性,從而基本解決了因為不理解代碼而造成的誤報。此外,Xcheck 能夠識別用戶自定義的安全防護(hù)措施,從而進(jìn)一步降低誤報。
低漏報
Xcheck 已經(jīng)針對主流框架和風(fēng)險函數(shù)內(nèi)置了豐富的規(guī)則;另外,針對未支持的框架和函數(shù),還可以通過自定義規(guī)則補(bǔ)充對應(yīng)的識別能力。
速度快
Xcheck 擁有一套優(yōu)秀的代碼分析算法,在保證精準(zhǔn)分析的前提下,解決了傳統(tǒng)靜態(tài)分析工具效率低的問題。
應(yīng)用場景
代替人工,自動分析代碼中存在的安全漏洞
作為代碼安全質(zhì)量檢測門禁接入流水線,保證每次發(fā)布的代碼沒有已知類型的安全漏洞
