典型商用SAST工具介绍

举报
maijun 发表于 2023/07/03 09:49:51 2023/07/03
【摘要】 梳理典型的商用的静态代码分析工具

本文主要梳理典型的商用的静态代码分析工具,给大家参考,持续补充中...

说明几点:

1. 列的工具的范围:在国内有一定市场份额或者知名度的外国SAST产品,及部分国内的SAST产品,不可能全部列出来的;

2. 简介部分:我熟悉的工具会多说一句,不熟的就说得少。工具介绍里面,这些工具都是能上天入地的,大家自己把握

3. 如果所在公司对某款工具感兴趣,可以去测评,我之前有一篇测试SAST工具的文章:静态代码分析工具评估指标及方法(只适单机工具测评,不适合当前的各类以云服务形式提供检查能力的产品)。

工具如下:

工具 厂商 所在国家 典型技术 简介
Coverity Synopsys 美国 抽象解释

链接:https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast.html

顶级工具,业界对标的标准,擅长C/C++等语言检查

Fortify Microfocus 美国 数据流、控制了分析

链接:https://www.microfocus.com/zh-cn/cyberres/application-security/static-code-analyzer

老牌静态代码分析工具,擅长java等语言的检查

Checkmarx SAST Checkmax

链接:https://checkmarx.com/zh/product/cxsast-source-code-scanning/

当前也属于Gartner领导者象限部分,C/C++部分不基于编译,源码扫描,所以我一个做工具的,其实是很想知道他们的C/C++的能力是怎么保证的,误报是怎么消减下来的。

Klocwork Perforce 美国

链接:https://www.perforce.com/products/klocwork

能力还不错,步骤很规整。

SonarQube Sonar

链接:https://www.sonarsource.com/products/sonarqube/

靠开源部分的检查,使SonarQube的市场占有率很高,但是说实话,商用独有的检查能力和其他工具比弱了点儿。但是算起来,如果是小批量工程扫描,使用体验会比较好,而且有比较强大的第三方工具的集成能力。

Helix QAC Perforce

链接:https://www.perforce.com/products/helix-qac
Snyk Code Snyk

链接:https://snyk.io/product/snyk-code/
LGTM 微软? 美国 Datalog

链接:https://codeql.github.com/

前面给的链接是CodeQL的链接,CodeQL是一种DSL,其引擎是LGTM。该工具如果用来扫描开源代码,或者纯实验性质的挖漏洞,是免费的,但是如果要集成到企业内部,就需要收费。

PC-Lint Vector Informatik 美国?

链接:https://pclintplus.com/pc-lint-plus/

C/C++,基于clang开发。该工具原来应该是美国的一家公司开发,但是目前被总部位于德国的公司收购,但是我理解,PC-Lint如果出售,应该受到美国实体清单的影响。

PVS-Studio


链接:https://pvs-studio.com/en/

C,C++,C#,Java 代码检查

Svace ISP 俄罗斯

链接:https://www.ispras.ru/en/technologies/svace/

C/C++部分基于clang开发,能力也还可以,需要结合一些实际场景再多进行一些打磨

CodeSonar GrammaTech

链接:https://www.grammatech.com/our-products/codesonar/
Veracode SAST Veracode

链接:https://www.veracode.com/products/binary-static-analysis-sast

该工具是基于二进制的SAST

Axivion Suite axivion

链接:https://www.axivion.com/en/products/axivion-suite/
CodeArts 华为云 中国 云平台

链接:https://www.huaweicloud.cn/devcloud/

华为云上面的代码检查服务,是 CodeArts 的一部分,名字是 CodeArts Check,最大的优势是可以针对众多的开源工具提供了一站式的检查,当然也有外溢公司内部自研的检查工具。

Codeup 阿里云 中国 云平台

链接:https://cn.aliyun.com/product/yunxiao/codeup

阿里云效Codeup,跟华为云上面的CodeArts差不多的产品。其代码检查部分,集成了原来的源伞的Pinpoint,同时也有专门的敏感信息检查SecretRadar依赖包漏洞检查等自研检查工具。

TCAP 腾讯云 中国 云平台

链接:https://cloud.tencent.com/product/tcap

腾讯云上面的代码检查服务,集成了众多开源和自研代码分析工具。有点儿跟华为云的 CodeArts 比较像。

鸿渐SAST 鸿渐科技 中国 值流分析

链接:http://www.redrocket.cn/SAST/

前几年也测评过这款工具,能力不错,主要我对他们的实现技术比较认可,少有的从基础打磨的检查工具。

PinPoint 源伞 中国 值流分析、定理证明

链接:https://www.sourcebrella.com/

参考链接中的介绍。技术水平比较高,大家可以参考其发的部分论文了解相关的实现。现在被蚂蚁收购。

代码卫士 奇安信 中国

链接:https://codesafe.qianxin.com/#/home

参考链接中的介绍。前些年测评过该工具,当时对java支持很不错,最近进展不清楚。

WuKong 中科天齐 中国
链接:https://www.woocoom.com/
SpecChecker 轩宇信息 中国
链接:http://www.sunwiseinfo.com.cn/specchecker
CodePecker 酷德啄木鸟 中国
链接:http://www.ionitech.cn/security/codepecker/
Corax 蜚语安全 中国
链接:https://feysh.com/#/product
SCAP 海云安 中国
链接:https://www.secidea.com/scap.html
CodeSec 开源网安 中国
链接:https://seczone.cn/channels/SDL-SAST.html
找八哥 思客云 中国
链接:http://gitlab.mapath.com/#/product/ZBG_SAST
行道SAST 孝道科技 中国
链接:https://www.tcsec.com.cn/product/sast
雳鉴SAST 默安科技 中国
链接:https://www.moresec.cn/
Swift Code 固源科技 中国

链接:https://www.gysecurity.cn/code.html

不需要编译、运行,好像是直接扫描源码的?




















【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。