三款商业化源代码审计工具对比

随着互联网的快速发展，各种 *** 应用层出不穷， *** 应用已经成为人们生活的重要组成部分。在享受 *** 应用给人们带来便利的同时，安全问题频繁发生，信息泄露、业务中断、敲诈勒索等安全事件屡见不鲜。如何保证互联网的安全已经成为一个重要的话题。

近年来，大多数安全问题来自应用层安全，主要是由软件源代码中的安全缺陷引起的。对源代码安全的研究越来越多，源代码安全已成为解决信息安全问题的重要方向，也是信息安全的新兴领域。

许多企业开始认识到引入代码检测来解决安全问题的想法。源代码检测属于程序分析领域，需要相关领域的技术储备。许多传统的安全制造商没有相关的商业技术产品。网上有许多开源审计工具，但检测能力和精度较差。本文结合多年对源代码检测产品的了解，介绍了三种更成熟的商业源代码检测产品。

1、 Fortify SCA

Fortify Software该公司是一家总部设在硅谷的制造商，致力于提供应用软件安全开发工具和管理方案。Fortify为应用软件开发组织、安全审计人员和应用安全管理人员提供工具***应用软件安全实践和策略帮助他们在软件开发生命周期中花费最少的时间和成本来识别和修复软件源代码中的安全风险。

Fortify SCA是一种静态、白盒软件源代码安全测试工具，通过内置五个主要分析引擎：数据流、语义、结构、控制流、配置流等应用软件源代码静态分析，与其独特的软件安全漏洞规则集全面匹配、搜索，从而扫描源代码中的安全漏洞，并整理报告。扫描结果不仅包括详细的安全漏洞信息，还包括相关的安全知识说明和修复意见。

Fortify SCA支持Java, *** P,ASP.NET,C#,VB.NET,C,C ,COBOL,ColdFusion,

Transact-SQL,PL/SQL,JavaScript/Ajax,Classic,ASP,VBScript,VB6,PHPjava，jsp支持多种语言、600多种风险类型CWE/OWASP国际主流标准，交付形式为纯软件。

2、Checkmarx CxSuite

Checkmarx 是以色列的高科技软件公司。CheckmarxCxSuite专门设计用于识别、跟踪和修复软件源代码上的技术和逻辑安全风险。它首先采用了独特的词汇分析技术来查询语言定位代码的安全性CxQL扫描和分析源代码中的安全漏洞和弱点。

Checkmarx CxSuite扫描结果可以以静态报告的形式显示，也可以在代码运行过程中通过数据传输和调用图跟踪软件安全漏洞和质量缺陷的代码缺陷的全过程，也可以为修复安全漏洞和质量缺陷提供指导和建议。结果也可以审计，以消除误报。

Checkmarx CxSuite支持JAVA、ASP.NET(C#、VB.NET)、JavaScript、Jscript、C/C 、APEX支持语言等500多种风险类型CWE/OWASP国际主流标准，交付形态为纯软件。

3、360代码卫士

360代码卫士是360企业安全集团基于多年的源代码安全实践经验，包括源代码缺陷检测、合规检测、可追溯性检测三个检测功能，360代码卫士还可以实现软件安全开发生命周期管理，现有代码版本管理系统、缺陷管理系统、施工工具、源代码检测进入企业开发过程，实现软件源代码安全目标管理、自动化检测、差距分析、Bug修复跟踪等功能，帮助企业以更低成本建立代码安全系统并实施，建立信息系统“内建安全”。

目前支持代码卫士Windows、Linux、Android、Apple iOS、IBM AIX支持的编程语言涵盖平台上的代码安全检测C/C /C#/Objective-C/Java/ *** P/JavaScript/PHP/Python/Cobol等待主流语言。在软件代码缺陷检测方面，代码卫士支持24类和700多个小类代码安全缺陷检测，与国际兼容CWE、ISO/IEC 24772、OWASP Top 10、SANS Top 25等标准和***实践；代码卫士可以支持软件编码合规检测US CERT C/C /Java安全编码标准检测可根据用户需要灵活定制；在开源代码可追溯性检测方面，代码卫士可支持8万多个开源代码模块识别和2.8万多个开源代码漏洞的检测。

4、对比分析

到目前为止，是源代码检测领域的领先产品，比较如下：

这三种静态源代码扫描工具各有特点，SCA支持的语言有20多种，基本涵盖了绝大多数应用，适用范围相当广，但也使其价格非常昂贵；CxSuite支持语言包括常见语言Web应用语言的应用范围基本上包括大多数应用，其使用***定义规则的语言很有特色，价格比较SCA具有一定的优势；360代码卫士是中国之一款源代码审计商业产品。检测能力多样化，可以低成本融入开发过程，更适合企业用户的需求，性价比高。值得一提的是，随着国内信息安全产品的出现“自主、可控”随着原则的推广，更多的企业倾向于为国内源代码审计产品提供更好的本地服务。