Xcheck通过中国信通院SAST能力评估,体验环境正式开放!
2022-7-21 16:54:25 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

0x00 Xcheck 能力再受认可

近日,由中国信息通信研究院主办的 2022 首届软件供应链安全论坛在北京召开,会上正式发布:腾讯代码安全检查工具 Xcheck 通过了《静态应用程序安全测试工具能力要求》评估。

为了从软件生命周期的源头保障软件供应链安全,自 2019 年以来,中国信通院联合腾讯在内的众多国内知名企业,共同编制了《软件供应链安全保障基本要求》、《可信研发运营安全能力成熟度》、《静态应用程序安全测试工具能力要求》、《交互式应用程序安全测试工具能力要求》等软件供应链安全相关标准。基于以上系列标准,中国信通院对国内多个企业开展了严格的测试与评估。凭借优异的性能和在代码安全实践中的表现,Xcheck 通过了此次静态应用程序安全测试工具的能力评估。

0x01 关于 Xcheck

Xcheck 是腾讯自研的新一代静态应用安全测试(SAST)工具,采用创新的技术路线,基于成熟的污点分析技术与对抽象语法树的精准剖解,实现了快速精准的识别代码风险。

作为新一代的 SAST 工具,Xcheck 解决了传统白盒扫描速度慢、误报高的通病,非常适合集成到 DevOps 的流水线当中使用。当前腾讯内部已全面使用 Xcheck 作为 DevOps 开发环节中的必备检测工具。

针对 Golang、Java、Nodejs、PHP、Python 等常用语言,Xcheck 引擎算法具有非常明显优势,能够实现每秒万行的扫描,速度是同类工具的几十倍。同时,Xcheck 产品经过每年数百万个真实项目统计,工具自身误报率可控制在 10%以下,远低于同类工具。

0x02 新控制台抢先看

Xcheck 一直在持续迭代,在不断提升核心引擎扫描分析能力的同时,控制台也经历了多次重构优化,针对灵活性、扩展性、兼容性、安全性、用户体验等方面进行充分的思考和设计,以满足用户在不同场景下的使用需求。

整体架构

如下图所示,Xcheck 整体采用客户端-服务端的架构,服务端的各个组件均支持水平伸缩,使得 Xcheck 可以支撑海量的分析任务。

使用场景

Xcheck 支持多种使用场景,可以帮助用户在研发的各个阶段发现代码中的安全风险

Web 图形页面

用户可以通过 Web 页面来使用 Xcheck

API 接口调用

Xcheck 提供丰富的 API 接口,供用户进行调用,用户可以基于 API 开发自己的插件

命令行调用

Xcheck 也提供命令行工具:xcheck-cli,只需要简单的命令就能对本地代码进行安全分析

CI/CD 插件

Xcheck 提供常见 CI/CD 平台的流水线插件,如腾讯 Coding、蓝鲸、Jenkins 等,凭借优异的分析速度,能够在制品构建环节发现安全风险,避免漏洞发布到生产环境

本地 IDE 插件

Xcheck 提供常见 IDE 的插件,让用户在开发阶段可以快速发现并修复安全风险

分析模式

Xcheck 支持多种分析模式,包括:

  • 全量分析/增量分析
  • 并发分析/定时分析

告警形式

Xcheck 支持多种告警通知形式,包括:邮件、短信、企业微信

报告格式

Xcheck 支持导出多种格式的报告,也可以自定义报告内容

辅助功能

Xcheck 希望用户在分析代码、定位缺陷、修复缺陷等操作中,能够获得良好的用户体验,为此,我们提供这些辅助能力

  • 实时查看分析进度
  • 手动启停分析任务
  • 缺陷定位、溯源
  • 缺陷介绍与修复指引
  • 集中管理任务/项目
  • 多维度数据统计与展示

集成扩展

扩展性是一款成熟商业产品的必备能力,Xcheck 支持集成其他工具或作为第三方工具被集成

集成其他工具

Xcheck 提供导入结果功能,可以导入其他工具的扫描结果,作为一次分析记录在 Xcheck 中展示

同时,Xcheck 底层也支持多引擎分析能力,只要实现相关接口,就能在分析时调用其他引擎来进行分析,结果会一并展示在页面中

被集成

Xcheck 提供了丰富的 API 接口,可以通过 API 来调用 Xcheck 来分析代码并获取结果,只要将结果转换为对应平台支持的结果格式并导入,即可在其他工具平台展示

0x03 体验环境正式开放!

即日起,Xcheck 在线体验环境正式开放,

访问体验地址或点击阅读原文即可体验!

https://xcheck.tencent.com/

每个用户默认可以创建 20 个分析任务,可分析代码行数 20w 行

欢迎反馈漏报/误报或提出产品使用上的建议。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2ODQ3ODE1NA==&mid=2247486380&idx=1&sn=d2ab503ab41e6d3434b1140a142d3357&chksm=ceaaf609f9dd7f1f20626cebedffbb5d6009e73ea33473074a7b090ff8cabbca95ffabeb1ffb&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh