AI已成为新型的基础设施，灵脉SAST多模智能引擎继智能代码修复、融合SCA和联动XSBOM数字供应链安全情报后，V3.5版本全新支持智能AI漏洞验证。

传统的SAST工具依赖于预定义的规则或模板来识别代码中的缺陷，但这些方法在处理复杂的代码上下文时，可能会产生较高的误报率或漏报问题。

灵脉SAST结合自然语言处理以及知识图谱技术，通过收集和处理代码库、历史缺陷数据、误报案例、知识库正确案例等数据，将代码的控制流和数据流信息（如函数调用关系、依赖关系、库函数文档等）构建成知识图谱，从而学习并构建与代码安全专家相当的智能漏洞验证能力：

传统SAST工具通常无法很好地理解代码的全局上下文，特别是在函数间调用和文件间依赖的场景下。灵脉SAST能够准确分析跨文件、跨函数的依赖关系，并基于此提供更加精准的审计建议。

通过自动化分析大规模代码库，减少了人工审计工作量，开发团队可以依赖灵脉SAST AI模型的分析建议，快速定位潜在缺陷、提升审计效率。

通过不断收集和学习新的代码样本、历史缺陷数据和误报案例，灵脉SAST AI检测模型能够不断优化检测准确度，更精确地识别真实缺陷、缓解误报。

Java代码的复杂性往往体现在类的封装性、继承、接口、多态等面向对象特性上，特别是对于类中的域（fields）管理。传统SAST工具对于变量的追踪通常停留在函数或类的范围内，未深入分析变量在类字段中的动态变化和传递，则会导致误报或漏报。

灵脉SAST通过加强对构造函数内部的分析、域相关的偏移连线，过滤跟踪路径中域不匹配的逻辑，追踪和分析Java类中“域”的值如何在代码中流动和变化，从而为开发者提供更加精准的静态代码检测，尤其在处理复杂Java应用或面向对象的系统时，能够减少误报并识别更复杂的安全漏洞。

灵脉SAST V3.5新增了对安卓制品的支持，允许用户上传安卓应用的APK文件进行静态分析，开发团队可以通过灵脉SAST提前识别代码中的安全缺陷和质量缺陷，提升移动应用的安全性；同时灵脉SAST支持对多个安卓制品的批量检测，大大提高了整体开发效率和安全保障。

灵脉SAST V3.5支持自定义敏感信息规则，用户可通过字符匹配和污点输入匹配（例如变量名、函数名、对象名等）正则表达式对源代码中的敏感信息进行识别与检测。

软件开发中，代码质量同样关系到项目的可维护性、性能和安全性。灵脉SAST不仅全面检出安全漏洞，同时以多个维度量化评估代码整体质量，并给出评分评级，为开发人员、项目管理者以及安全团队提供直观的参考数据，贯彻落实DevSecOps理念文化。

灵脉SAST V3.5以文件、类、方法函数的维度来全面评估代码属性，帮助开发团队量化代码的复杂度、重复度、注释覆盖率等方面。这不仅能发现代码中的潜在问题，为代码审查和优化提供数据依据，如发现冗余、复杂的代码块，识别出需要重构的长方法或类，掌握代码结构和模块化设计的整体状况等，从而帮助团队提高代码的可读性、减少技术债务、提升代码的可维护性。

灵脉SAST V3.5新增了代码评分规则设置，并支持用户自行配置各等级缺陷占比权重和评级标准来维护代码评分规则，通过代码评分评级（S级至F级），用户可一目了然任务的代码质量，帮助开发团队提升代码的可靠性和可维护性。

支持适配华为欧拉、银河麒麟、中标麒麟操作系统，满足常用信创操作系统需求。

新增Android Studio插件，满足 Android应用开发的持续检测场景

新增Gitee Go、Zadig、通用Shell脚本，丰富持续集成的应用场景。

新建源代码检测任务时，支持检测语言识别机制。尤其在多语言检测项目下，可省去手动选择检测语言的麻烦。

新增Webhook消息推送，支持任务的整体结果推送及具体缺陷的推送，满足多种推送场景。

支持公开或匿名方式分享缺陷。有助于项目团队查看缺陷信息，沟通缺陷问题。

(1)新增API报告、度量报告导出操作，报告种类更丰富。

(2)优化生成报告队列，解决报告队列过多导致的崩溃情况。

(3)优化报告生成速度，生成速度显著提高。

优化新建编辑模板弹窗，维护模板时选择规则更清晰便捷。

＋

关于“悬镜安全”

悬镜安全，起源于子芽创立的北京大学网络安全技术研究团队”XMIRROR”，作为数字供应链安全开拓者和DevSecOps敏捷安全领导者，始终专注于以“代码疫苗”技术为内核，凭借原创专利级”全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报预警服务”的第三代DevSecOps数字供应链安全管理体系，创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户，构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系，持续守护中国数字供应链安全。