产品简介

架构图

360代码卫士(企业版)(以下简称“代码卫士”)是360企业安全集团基于多年源代码安全实践经验开发的新一代源代码安全检测系统。代码卫士面向企业源代码安全需求,实现软件安全开发生命周期管理,在不大幅改变企业开发流程的前提下,与企业已有代码版本管理系统(如Svn、Git)、缺陷管理系统(如Bugzilla)等无缝对接,以最小代价帮助企业实现源代码安全目标设定、自动化缺陷检测、目标差距分析、Bug修复跟踪等功能,实现源代码安全的可视化管理,构筑信息系统的“内建安全”。

功能特点

缺陷检测
  • 支持C、C++、C#、Java、PHP、JSP、Python等主流编程语言开发的软件源代码的检测。
  • 支持缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数等13个大类,600多个小类的缺陷检测。
  • 兼容CWE、OWASP Top 10、CWE/SANS TOP25等国际主流缺陷和漏洞列表的检测。
合规检测
  • 支持CERT C/C++/Java安全编码标准、MISRA C/C++、ISO/IEC TR 24772等国际标准和规范的源代码合规检测。
  • 提供方便的可扩展接口,针对组织和行业特有的代码规范,定制开发自动化检测规则,满足个性化需求。
溯源检测
  • 检测软件中是否引用了开源代码模块。
  • 引用的开源代码模块存在哪些安全漏洞。
安全开发生命周期管理(SDLM)
  • 支持项目安全目标设定。
  • 支持从SVN、Git等代码版本管理系统中获取源代码进行自动化周期检测。
  • 支持检测结果的差距分析。
  • 支持项目安全趋势分析。
  • 支持检测结果与Bugzilla等Bug管理系统进行整合。
  • 支持审计信息携带,提高缺陷审计效率。

产品优势

技术先进,保证检测精度

代码卫士基于控制流分析、数据流分析、符号执行、内存精确建模、代码全路径识别等源代码分析技术实现程序DNA图谱分析,最大程度保证源代码检测结果的全面性和准确性。

主流标准,确保检测权威性

基于北京奇虎测腾科技有限公司多年源代码安全检测实践经验,兼容CWE、OWASP TOP10、CWE/SANS、CERT C/C++/Java安全编程标准、MISRA C/C++、ISO/IEC TR 24772等国际主流标准和规范,有效保证源代码检测结果的权威性。

无缝集成,减少实施成本

源代码安全检测无缝集成于开发和测试流程,用户无需大动干戈,即可享有源代码质量大幅提升带来的好处。

自主可控,用得安心

代码卫士是国产源代码安全检测产品,符合国家信息安全产品“自主、可控”的原则。

客户价值

最小代价实现软件“基因”优化

如果将软件看作“虚拟人”,那么源代码安全检测可以解决软件“先天不良”的问题,开发过程中不断实施源代码安全检测可以使软件做到“优生优育”,进而提高软件质量和安全级别。

降低软件安全问题修复成本

软件开发过程中,编码阶段发现并纠正安全问题所需成本为最低时间点,代码卫士可以在软件编码过程中帮助开发人员找出软件中的安全缺陷,并提供修复办法,降低修复成本。

规避开源代码风险

开源组件存在的已知漏洞和授权协议会给软件带来风险,代码卫士能够检测软件中使用了哪些开源组件,它们存在哪些漏洞和使用授权的问题,帮助企业规避开源代码风险。

服务与支持

专业评估

对组织开发和测试流程进行评估, 分析系统源代码特点及安全状况,总结梳理经常出现的代码安全问题。

定制方案

结合组织业务需求和安全状况,制定符合行业特点的安全开发与测试规范,开发缺陷及合规审计规则集。

安全培训

通过专业的安全培训使组织开发、测试人员全面了解安全编码常识,明确安全缺陷种类,以及安全缺陷的特点、产生原因、导致后果以及如何防范与避免,帮助组织有效提高安全编程能力。

深度服务

拥有经验丰富、可信赖的源代码技术服务团队,团队中的源代码安全分析专家均具备7年以上的从业经验,可提供源代码深度检测和评估服务,帮助组织更快、更好的完成源代码安全检测工作