CodeSec源代码安全检测平台

产品概述

CodeSec源代码安全检测平台主要运用于开发阶段的代码审核,可集成主流的商业静态扫描工具,通过统一的平台管理,扬长避短,综合各工具的优势,有效降低误报率,帮助用户简化扫描流程。

针对同时多种代码扫描工具的企业,CodeSec能够对各扫描工具进行便捷式管理,对扫描结果进行优化,输出统一的漏洞描述和修复建议,方便用户对比分析,解决各平台输出报告混杂、耗费整理时间等问题,减轻测试人员的人力、时间投入。

产品功能

l 集成主流源代码扫描工具   

CodeSec集成了Fortify和Checkmarx源代码扫描工具这两款业界主流的源代码扫描工具,并且平台具有良好的扩展性,可通扩展多种商业工具,对多种工具之间的扫描结果进行快速对比,支持检测结果的差距分析,从而确定优先级,排除误报。   

l 符合主流检测标准   

基于多年源代码安全检测实践经验,CodeSec可兼容CWE、OWASP TOP10、CWE\SANS、CERT C/C++/JAVA等国际主流标准和规范,有效保证源代码检测结果的权威性。   

l 统一的用户管理与充分的可扩展性   

不同的扫描工具的分组及用户管理策略不同,CodeSec平台实现了统一的用户管理,可以使不同团队之间扫描结果的隔离。同时,CodeSec提供接口集成其它的扫描平台结果,可支持自定义漏洞描述。

产品优势   

l 内置高精确度扫描引擎   

CodeSec内置支持JAVA 、C/C++、C#、PHP的高精确度扫描引擎,对主流编程语言开发进行源代码检测,自动可控。支持缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数等13个大类,600多个小类的缺陷检测。支持对第三库的检测。可独立使用,也可作为其它商业扫描工具的互补。   

l 全面的管理功能,便捷式操作   

CodeSec平台提供统一的项目管理及简化的操作步骤,可以节省用户的操作时间。 

l 统一的修复方案和报告输出

不同的商业扫描工具对漏洞的命名、描述及修复方案都不尽相同,这给用户在对比及确定修复方案时会造成极大的困扰。CodeSec实现了对不同扫描工具漏洞描述与修复方案的同一化,且主流漏洞全部实现汉化。并且CodeSec平台可以实现扫描报告的统一化,可以针对用户需求进行定制化调整。