8款国内外代码分析工具对比测试,来看哪一款适合你
2021-06-27 18:48:25 Author: www.aqniu.com(查看原文) 阅读量:135 收藏

8款国内外代码分析工具对比测试,来看哪一款适合你

星期日, 六月 27, 2021

最近,鸿渐科技启动了关于SDL和开发安全的代码分析工具项目。调研了很多产品的功能及POC,下面分享一些调研心得,希望对大家有所帮助:

1、百度搜索

百度搜索“代码分析工具”,虽然发现不少相关工具,但其数据准确性还有待商榷,且具体功能也需进一步POC。

2、开源工具

我们研究过findbugs[1]的sec版、sonar[2]和cobra[3]等开源工具。它们虽然使用起来方便高效,但达不到项目要求的安全标准。不过测出的严重问题并不多。

3、商用产品POC范围确认

根据Gartner和国内权威第三方调研机构的调研,我们选出了若干获得普遍认可的工具,如国外的Fortify[4]、checkmarx[5]、Klocwork[6]和Coverity[7],国内的代码卫士[8]、Wukong[9]、鸿渐SAST[10]和酷德啄木鸟[11]

根据项目需求,我们亦针对上述产品做了POC,汇总如下:

表1:国外产品对比(含鸿渐SAST)

注:国外工具1-4为Fortify、checkmarx、Klocwork和Coverity中的某一款,排序无对应关系。

表二:国内产品对比

注:国内工具1-3为代码卫士、Wukong和酷德啄木鸟中的某一款,排序无对应关系。

大家若想选出合适的工具产品,首先要根据项目需求确定供应商范围,然后再根据POC测试数据进行最终工具确定。以下是通过这次调研,我们总结的一个确定供应商的方法,供大家参考:

通过此次调研,我们发现越来越多优秀的国产工具开始崭露头角,尤其是像鸿渐科技的代码扫描工具SAST[12],目前已达国内领先,国际先进水平。通过POC结果看,也完全能支撑项目的大部分需求。相信随着它进一步迭代发展,达到国际领先,指日可待。

贸易战以来,美国对我国的打压已扩大到科技领域。国产替代的趋势亦逐渐盛大。“青山遮不住,毕竟东流去。”,相信中国必将突破外部封锁,驶入浩瀚大洋扬帆远航。国内代码分析企业也将迎来自己的高光时刻。

以上就是这次调研的分享,大家有什么想法欢迎留言讨论哦。

参考资料:

鸿渐科技拥有一支强大的研发团队,在软件安全、代码安全、白盒测试、漏洞自动挖掘和工控安全领域深耕多年,著有十余项发明专利,在软件安全行业尤其是代码安全分析领域处于国际领先水平。研发的系列产品覆盖了航空、航天、金融、电子、轨道交通、互联网等多个领域,打破了国外工具在软件安全分析领域的垄断。作为中国软件安全行业顶级的专业团队,依靠北大和中科院等高校优秀毕业生的科研力量,鸿渐科技多年以来积累了丰富的行业经验,形成了产学研结合的研发模式。公司的主旨是将最新的科研成果变成能够真正解决用户问题的自主可控产品,使缺陷检测、漏洞挖掘不再成为困扰中国企业的难题。


文章来源: https://www.aqniu.com/vendor/75196.html
如有侵权请联系:admin#unsafe.sh