代码安全保障系统

360代码安全保障系统(以下简称“代码卫士”)是360企业安全集团基于多年源代码安全实践经验推出的新一代源代码安全检测解决方案,包括源代码安全缺陷检测、合规检测、溯源检测三大检测功能,同时360代码安全保障系统还可实现软件安全开发生命周期管理,与企业已有代码版本管理系统(如SVN、GIT)、缺陷管理系统(如Bugzilla)等无缝对接,将源代码检测融入企业开发流程,实现软件源代码安全目标管理、自动化检测、差距分析、Bug修复追踪等功能,帮助企业以最小代价建立代码安全保障体系并落地实施,构筑信息系统的“内建安全”。

联系我们

产品亮点

  1. 技术先进——保证检测精度

    代码卫士基于控制流分析、数据流分析、符号执行、内存精确建模、代码全路径识别等源代码分析技术实现程序DNA图谱分析,最大程度保证源代码检测结果的全面性和准确性。

  2. 主流标准——确保检测权威性

    代码卫士基于多年源代码安全检测实践经验,兼容CWE、OWASP TOP10、CWE\SANS、CERT C/C++/JAVA等国际主流标准和规范,有效保证源代码检测结果的权威性。

  3. 无缝集成——减少实施成本

    代码卫士可以与版本管理工具以及缺陷跟踪系统进行联动,无缝集成于开发和测试流程,大幅提高源代码质量。

  4. 自主可控——符合国家要求

    代码卫士是国产源代码安全检测产品,符合国家信息安全产品“自主、可控”原则。

产品功能

  • 缺陷检测

    支持C、C++、C#、Java、PHP、JSP、Python等主流编程语言开发的软件源代码的检测。

    支持缓冲区溢出、代码注入、跨站脚本、输入验证、API误用、密码管理、配置错误、危险函数等13个大类,600多个小类的缺陷检测。

    兼容CWE、OWASP Top 10、CWE/SANS TOP25等国际主流缺陷和漏洞列表的检测。

  • 合规检测

    支持CERT C/C++/Java安全编码标准。

    提供方便的可扩展接口,针对组织和行业特有的代码规范,定制开发自动化检测规则,满足个性化需求。

  • 溯源检测

    检测软件中是否引用了开源代码模块。

    引用的开源代码模块存在哪些安全漏洞。

  • 安全开发生命周期管理(SDLM)

    支持项目安全目标设定。

    支持从SVN、GIT等代码版本管理系统中获取源代码进行自动化周期检测。

    支持检测结果的差距分析。

    支持项目安全趋势分析。

    支持检测结果与Bugzilla等Bug管理系统进行整合。

    支持审计信息携带,提高缺陷审计效率。

使用场景

  • 外包场景

    很多的企业用户把业务系统都外包给软件公司进行开发,在业务系统交付时无法有效验证系统安全性。通过代码卫士对交付时的业务系统进行源代码审计,发现缺陷并修复,提高业务系统软件安全系数。

  • 业务自查

    部分企业用户拥有自己的研发团队,在开发过程中,利用源代码审计产品,结合开发工具、缺陷跟踪系统,有效提升软件版本质量,落地整个软件安全开发生命周期管理。

产品白皮书下载