软件安全是网络安全的基础防线,而软件的底层由大量代码组成。随着软件规模的增加,开发成本也在呈指数上升。这其中一个重要的原因是修正缺陷,倘若缺陷都能被快速发现并修正,成本上升的形态就基本能保持线性。
及时发现并解决新的代码缺陷要比解决历史遗留代码缺陷要容易。尤其在写好代码的时间不长的情况下,找出缺陷往往比较快,甚至只要看到错误提示就能发现问题出在哪里。然而如果要解决6个月前写好的代码,对程序员来说就比较麻烦,因为那时很可能对代码已经不熟悉了,采用的解决方式不但可能存在风险,甚至还有可能引入更多代码缺陷。
随着安全左移,现在部分安全测试会从源代码开始。相较于在软件开发后期才进行测试,早期的测试更有助于快速解决安全问题。
静态代码安全测试工具是一款可以在不执行代码的情况下,检测所有的代码级别可执行路径组合,直接面向源码分析语义缺陷及安全漏洞。这样就可以在研发阶段早期发现并修复缺陷和安全漏洞,节省大量时间和成本。WuKong静态代码安全测试工具就是这类产品。
WuKong是什么?
WuKong是一款国产静态代码安全测试工具,可直接整合到开发流程中,与代码管理仓库(Git、SVN等),缺陷管理系统(Jira、禅道等)进行对接,在不增加研发成本的前提下帮助开发人员减少交付不安全代码的风险。
WuKong静态代码安全测试工具截图
WuKong具有检测速度快,误报率低,检测精准,检测深度更深等特点,并且可以根据需求进行定制化。所采用的先进技术先后发表在CGO’13、CGO’14、ECOOP’16、ASE’19等国际顶级会议和期刊上。
WuKong产品能够在软件开发的初期及时发现代码缺陷及安全漏洞,在确保开发效率的同时,极大地提高用户软件的安全性。
WuKong能做什么?
检测语言:
支持 C、C++、C#、JAVA、Python、PHP、JSP、JavaScript、HTML、XML等主流程序开发语言。
缺陷类型:
WuKong可以检测运行时缺陷、安全漏洞及编码标准规范。
支持国家推荐标准 GB/T 34943、 GB/T 34944、GB/T 34946、CWE Top25、OWASP Top10等。
兼容国产软件:
WuKong支持国产化环境,支持银河麒麟、中标麒麟等。
WuKong项目管理能力怎么样?
支持定时任务代码检测,可设定检测时间、检测频率等参数。
支持每日全工程分析和每日增量分析。
支持两个版本之间(修复前和修复后)检测结果对比......
等等。
在图标中心,会有项目、任务、缺陷等数据的图表分析、展示。
......
作为一款国产工具,WuKong在本地定制化方面具有很大优势。伴随国产化软件崛起,WuKong静态代码安全检测工具在查找缺陷及漏洞,提高软件安全方面发挥着越来越多的作用。