四款優秀的源代碼掃描工具簡介

1、DMSCA-企業級靜態源代碼掃描分析服務平臺

    端瑪企業級靜態源代碼掃描分析服務平臺（英文簡稱：DMSCA）是一個獨特的源代碼安全漏洞、質量缺陷和邏輯缺陷掃描分析服務平臺。該平臺可用於識別、跟蹤和修復在源代碼中的技術和邏輯上的缺陷，讓軟件開發團隊及測試團隊快速、準肯定位源代碼中的安全漏洞、質量和業務邏輯缺陷等問題，並依據提供的專業中肯的修復建議，快速修復。提升軟件產品的可靠性、安全性。同時兼容並達到國際、國內相關行業的合規要求。     DMSCA是端瑪科技在多年靜態分析技術的積累及研發努力的基礎上，聯合多所國內及國際知名大學、專家共同分析全球靜態分析技術的優缺點後、結合當前開發語言的技術現狀、源代碼缺陷的發展勢態和市場後，研發出的新一代源代碼企業級分析方案旨在從根源上識別、跟蹤和修復源代碼技術和邏輯上的缺陷。該方案克服了傳統靜態分析工具誤報率（False Positive）高和漏報（False Negative）的缺陷。打斷了國外產品在高端靜態分析產品方面的壟斷，造成中國自主可控的高端源代碼安全和質量掃描產品，並支持中國本身的源代碼檢測方面的國家標準（GB/T34944-2017 Java、GB/T34943-2017 C/C++、GB/T34946-2017 C#），致力於爲在中國的企業提供更直接，更個性化的平臺定製和本地化服務。     DMSCA支持主流編程語言安全漏洞及質量缺陷掃描和分析，支持客戶化平臺界面、報告、規則自定義，以知足客戶特定安全策略、安全標準和研發運營環境集成的須要。產品從面世，就得到了中國國內衆多客戶的青睞，這些客戶包括但不限於銀行、在線支付、保險、電力、能源、電信、汽車、媒體娛樂、軟件、服務和軍事等行業的財富1000企業。

    1、系統架構

二、系統組件

三、產品界面

四、集成SDLC

 五 、主要功能及特性

 操做系統獨立。代碼掃描不依賴於特定操做系統，只需在在企業範圍內部署一臺掃描服務器，就能夠掃描其它操做系統開發環境下的代碼。

編譯器獨立、開發環境獨立，搭建測試環境簡單快速且統一。因爲採用了獨特的虛擬編譯器技術，代碼掃描不須要依賴編譯器和開發環境，無需爲每種開發語言的代碼安裝編譯器和測試環境，只須要經過客戶端、瀏覽器、開發環境集成插件登陸到we服務器。

工具學習、培訓和使用的成本少，最小化影響開發進度。因爲編譯器、操做系統和開發環境獨立，使用者無需去學習每種平臺下如何去編譯代碼，調試代碼、如何掃描測試代碼，無需去看每種平臺下繁瑣的使用手則。由於端瑪代碼掃描系統服務只須要提供源代碼便可掃描，並給出精確的掃描結果。 

低誤報。 DMSCA企業服務在掃描過程當中全面分析應用的全部路徑和變量。準確地分析結果，驗證可能的風險是否真正致使安全問題，自動排除噪音信息，掃描結果幾乎就是最終的分析結果，誤報率（False Positive）幾乎爲零。極大的減小了審計分析的人工勞動成本，極大節省了代碼審計的時間，爲開發團隊贏得更多的開發時間。 

 安全漏洞覆蓋面廣且全面 (低漏報）。數以百計的安全漏洞檢查適合任於何組織，支持最新的OWASP 、CWE、SANS、PCI、SOX、GDPR、等國際權威組織對軟件安全漏洞的定義，同時支持中國國家源代碼安全檢測標準（GB/T34944-2017 Java、GB/T34943-2017 C/C++、GB/T34946-2017 C#）。漏洞覆蓋面廣，安全檢查全面，其自定義查詢語言可讓用戶靈活制定須要的代碼規則，極大的豐富組織特定的代碼安全和代碼質量的須要。

安全查詢規則清晰且徹底公開實現。規則定義清晰，並徹底公開全部規則的定義和實現讓用戶清楚知道工具如何去定義風險、如何去查找風險，透明各類語言風險。讓用戶知道工具已經作了那些工做，沒有作那些該工做。而不是給用戶一個黑匣子，用戶沒法瞭解工具的細節和缺陷，沒法在代碼審計過程當中規避工具的風險（好比漏報和誤報），好比利用人工或者其它手段查找工具不能定位的問題。

安全規則自定義簡單高效。因爲公開了全部規則實現的細節和語法，用戶能夠快速修改規則或者參考已有的規則語句自定義本身須要規則，規則學習，定義簡單高效。能快速實現組織軟件安全策略。

業務邏輯和架構風險調查。端瑪代碼掃描系統服務能夠對全部掃描代碼的任意一個代碼元素（詞彙）作動態的數據影響、控制影響和業務邏輯研究和調查。分析代碼邏輯和架構特有的安全風險，並最後定義規則精確查找這些風險。這是目前惟一能動態分析業務邏輯和軟件架構的靜態技術。

攻擊路徑的可視化，並以3D形式展示。每個安全漏洞的攻擊模式和路徑徹底呈現出來，以3D圖形的方式顯示，便於安全問題調查和分析。

支持主流語言：Java、JSP、JavaSript、VBSript、C#、ASP.net、VB.Net、VB6、C/C++、ASP、PHP、Python、Swift、Ruby、Perl、PL/SQL、Android、OWASP ESAPI、MISRA、obxxxxjective-C (iOS)、API及第三方語言。

支持的主流框架（frxxxxamework）：Struts、Spring、Ibatis、GWT、Hiberante、Enterprise Libraries、 Telerik、ComponentArt、Infragistics、FarPoint、Ibatis.NET、Hibernate.Net [*]、MFC。可針對客戶特定框架快速定製支持。

服務獨立，全面的團隊掃描支持。做爲服務器運行。開發人員、管理人員和審計人員均可以憑各自的身份憑證從任何一處登陸服務器，進行代碼掃描、安全審計、團隊、用戶和掃描任務管理。

高度自動化掃描任務。自動集成版本管理（SubVersion、TFS、Git、其它）、SMTP郵件服務器和Windows帳戶管理，實現自動掃描代碼更新、自動掃描、自動報警和自動郵件通知等。

支持多任務排隊掃描、併發掃描、循環掃描、按時間調度掃描，提升團隊掃描效率。

雲服務實現：支持跨Internet實現源代碼安全掃描「雲服務」。

支持最佳修復位置建議 ，圖形顯示最佳修復點。

支持客戶化平臺定製：定規則、定策略、定界面、定報告、定流程、定規範及接口集成。

 

2、VeraCode靜態源代碼掃描分析服務平臺

Veracode靜態源代碼分析服務平臺是全球商業運營最好的平臺，全球數千家 軟件科技公司都在使用其服務發現軟件安全漏洞、質量缺陷。

 

支持衆多主流的開發語言和框架：   

 

   Java

 

   .NET

 

   jaxxxxvascxxxxript & Typescxxxxript (including AngularJS Node.js and jQuery)

 

   Python Perl PHP Ruby on Rails Scala ColdFusion Classic ASP

 

   iOS (obxxxxjective-C and Swift) Android (Java) PhoneGap Cordova Titanium Xamarin

 

   C/C++ (Windows RedHat Linux OpenSUSE Solaris)

 

   COBOL RPG Visual Basic 6

 

3、Fortify Scan

      Fortify SCA是一個靜態的、白盒的軟件源代碼安全測試工具。它經過內置的五大主要分析引擎：數據流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態分析，分析的過程當中與它特有的軟件安全漏洞規則進行全面地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，並給於整理報告。

4、Checkmarx

      Checkmarx的CxEnterprise靜態源代碼安全漏洞掃描和管理方案是一款比較全面的、綜合的源代碼安全掃描和管理方案，該方案提供用戶、角色和團隊管理、權限管理、掃描結果管理、掃描調度和自動化管理、掃描資源管理、查詢規則管理、掃描策略管理、更新管理、報表管理等多種企業環境下實施源代碼安全掃描和管理功能。