代码安全保障系统

“360代码卫士”代码安全保障系统(以下简称“代码卫士”)是360企业安全集团基于多年源代码安全实践经验开发的新一代源代码安全检测系统,面向组织源代码安全需求,能够在不改变组织现有开发流程的前提下,与源代码管理系统(如SVN、Git等)、缺陷管理系统(如Jira、Bugzilla等)、IDE开发工具(如Visual Studio、Eclipse等)、持续构建工具(如Jenkins、TFS)无缝对接,将源代码安全检测融入企业开发流程,实现软件源代码安全目标的统一管理、自动化检测、差距分析、Bug修复追踪等功能,帮助企业以最小代价建立代码安全保障体系并落地实施,构筑信息系统的“内建安全”。

联系我们

产品亮点

  1. 技术先进——保证检测精度

    代码卫士基于控制流分析、数据流分析、符号执行、内存精确建模、代码全路径识别等源代码分析技术实现程序DNA图谱分析,最大程度保证源代码检测结果的全面性和准确性。

  2. 主流标准——确保检测权威性

    代码卫士基于多年源代码安全检测实践经验,兼容CWE、OWASP TOP10、CWE\SANS、CERT C/C++/JAVA等国际主流标准和规范,有效保证源代码检测结果的权威性。

  3. 无缝集成——减少实施成本

    代码卫士可以与版本管理工具以及缺陷跟踪系统进行联动,无缝集成于开发和测试流程,大幅提高源代码质量。

  4. 自主可控——符合国家要求

    代码卫士是国产源代码安全检测产品,符合国家信息安全产品“自主、可控”原则。

产品功能

  • 缺陷检测

    支持C/C++、Objective-C、C#、Java、Java(Andriod)、PHP、JSP、XML、HTML、ASPX、JavaScript、SQL、Python、Cobol、Go等主流编程语言开发的软件源代码的检测。

    支持缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数等19个大类,1000多小类的缺陷检测。

    兼容CWE、OWASP TOP10、CWE\SANS、CERT C/C++、CERT JAVA等国际主流缺陷和漏洞列表的检测。

  • 合规检测

    支持CERT C/C++、CERT Java安全编码标准。

    提供方便的可扩展接口,针对组织和行业特有的代码规范,定制开发自动化检测规则,满足个性化需求。

  • 溯源检测

    检测软件中是否引用了开源代码模块。

    引用的开源代码模块存在哪些安全漏洞。

  • 安全开发生命周期管理(SDLM)

    支持项目安全目标设定。

    支持从SVN、GIT等代码版本管理系统中获取源代码进行自动化周期检测。

    支持检测结果的差距分析。

    支持项目安全趋势分析。

    支持检测结果与Bugzilla、Jira等Bug管理系统进行整合。

    支持审计信息携带,提高缺陷审计效率。

使用场景

  • 软件开发验收测试

    软件开发(包括自主开发和外包开发)完成后,进行验收测试时,通过对软件源代码进行全面的检测和分析,发现其中存在的安全缺陷,并提供专业、详细的检测报告,辅助软件开发人员进行修复,消除安全隐患。

  • 软件安全开发生命周期管理

    与客户已有的软件开发和测试工具对接,将缺陷检测、合规检测、溯源检测融入到开发测试流程中,实现软件源代码安全目标管理、自动化检测、差距分析、Bug修复追踪等功能,帮助客户落地软件安全开发生命周期管理流程。