CodeSec源代码安全检测平台

产品概述

CodeSec源代码安全检测平台(以下简称CodeSec)适用于软件安全开发生命周期(S-SDLC)开发阶段的代码审核。CodeSec可集成主流的商业静态扫描工具,通过统一的平台管理,帮助用户简化扫描流程、减少检测误报,并有效解决各平台输出报告混杂、需人工核实等白盒测试的典型问题,显著降低检测人员的人力与时间投入。

产品功能

l 集成主流源代码扫描工具   

CodeSec集成了Fortify和Checkmarx源代码扫描工具这两款业界主流的源代码扫描工具,并且平台具有良好的扩展性,可通扩展多种商业工具,对多种工具之间的扫描结果进行快速对比,支持检测结果的差距分析,从而确定优先级,排除误报。   

l 符合主流检测标准   

基于多年源代码安全检测实践经验,CodeSec可兼容CWE、OWASP TOP10、CWE\SANS、CERT C/C++/JAVA等国际主流标准和规范,有效保证源代码检测结果的权威性。   

l 统一的用户管理与充分的可扩展性   

不同的扫描工具的分组及用户管理策略不同,CodeSec平台实现了统一的用户管理,可以使不同团队之间扫描结果的隔离。同时,CodeSec提供接口集成其它的扫描平台结果,可支持自定义漏洞描述。

产品优势   

l 检测结果准确   

支持Java、C/C++、C#、PHP等主流编程语言开发进行源代码检测;

内置自主可控的高精确度扫描引擎。 

l 缺陷类型丰富  

支持缓冲区溢出、代码注入、危险函数等13大类和超600小类的缺陷检测;
支持第三库检测,既可独立使用,也可作为其它商业扫描工具的互补。

l 管理操作便捷

提供统一的项目管理及简化的操作步骤,可以节省用户的操作时间。 

l 统一的修复方案和报告输出

实现对不同扫描工具漏洞描述与修复方案的统一化,且主流漏洞全部汉化;
实现扫描报告的统一化,可针对用户需求定制调整。