SecurityPrism

代码安全漏洞审计

代码安全漏洞审计

        代码安全漏洞审计产品(SecurityPrism,简称SP),通过代码静态分析技术实现对源代码的安全漏洞扫描审计功能。主要提供:源代码安全编程规范知识库、代码安全漏洞自动扫描、生成代码安全漏洞审计报告。SP产品主要为开发团队、开发质量管理团队、项目经理、开发工程师等提供代码的自动化安全漏洞审计功能。是各行业代码安全编程的合规性分析工具。SP产品内置几千种代码安全编程规范,可覆盖CWE、OWASP、CERT等国际规范。


SP产品主要功能特点

代码规则知识库

  • 内置CWE、OWASP、CERT安全编码规则
  • 规则丰富,达几千种编程规范
  • 规则分级管理,并支持用户自定义级别
  • 全中文规则说明
  • 提供正例、反例及解释
  • 可添加客户化规则
            ……
            安全漏洞分析

            • “服务器扫描+IDE插件”扫描两种模式
            • 可按项目审计需求,自定义审计规则集
            • 可对安全漏洞进行分级显示和管理
            • 支持对扫描结果按权限进行查看
            • 提供B/S、C/S方式查看扫描结果
            • 可设定扫描白名单
                      ……
                      • 可生成doc、execl、pdf等多种格式报告
                      • 按规则、按文件、按项目统计缺陷数量
                      • 支持多次扫描的质量缺陷趋势分析
                      • 提供规则说明及正反例
                      • 截取问题代码及相关上下文代码
                      • 格式、内容可自定义的审计报告
                                ……
                                安全审计报告

                                SP产品技术架构

                                SP内置数千种安全规范

                                       SP拥有业界最全的代码安全编程规范,可对Java、JSP、ProC、C、C++、Object-C、XML、HTML、JavaScript、ASP、VisualBasic、PHP、Android-Java、C#、Python等20多种语言进行安全漏洞分析。

                                SP内置代码安全规范举例如下

                                SP产品技术特点

                                · 增量扫描

                                对一套代码多次变更的情况,实现增量扫描,大大缩短扫描分析时间。


                                · 可对接版本管理服务器

                                可直接对接大多数版本管理服务器,如SVN、CVS、GIT、FireFly等。在权限管理下,自动获取源代码。


                                · 内置报表工具

                                内置可自定义的报表工具,用户可以在不编写代码的情况下,定义自己所需的各类图表报告等。


                                · 无需安装编译环境

                                对任何语言进行分析时,无需专门安装编译环境。


                                · 自动调度分析任务

                                内置任务调度机制,允许用户根据情况设定代码分析任务的启动时间、结束时间、分析周期等。如:每周四23点开始分析。


                                · 多线程设计

                                支持多线程管理,可根据服务器硬件资源,由用户自己设定多任务并行分析模式,提高分析效率。


                                · 提供API接口,可以与DevOps流程集成

                                      ……