典型商用SAST工具介绍
本文主要梳理典型的商用的静态代码分析工具,给大家参考,持续补充中...
说明几点:
1. 列的工具的范围:在国内有一定市场份额或者知名度的外国SAST产品,及部分国内的SAST产品,不可能全部列出来的;
2. 简介部分:我熟悉的工具会多说一句,不熟的就说得少。工具介绍里面,这些工具都是能上天入地的,大家自己把握。
3. 如果所在公司对某款工具感兴趣,可以去测评,我之前有一篇测试SAST工具的文章:静态代码分析工具评估指标及方法(只适单机工具测评,不适合当前的各类以云服务形式提供检查能力的产品)。
工具如下:
工具 | 厂商 | 所在国家 | 典型技术 | 简介 |
Coverity | Synopsys | 美国 | 抽象解释 | 链接:https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast.html 顶级工具,业界对标的标准,擅长C/C++等语言检查 |
Fortify | Microfocus | 美国 | 数据流、控制了分析 | 链接:https://www.microfocus.com/zh-cn/cyberres/application-security/static-code-analyzer 老牌静态代码分析工具,擅长java等语言的检查 |
Checkmarx SAST | Checkmax | 链接:https://checkmarx.com/zh/product/cxsast-source-code-scanning/ 当前也属于Gartner领导者象限部分,C/C++部分不基于编译,源码扫描,所以我一个做工具的,其实是很想知道他们的C/C++的能力是怎么保证的,误报是怎么消减下来的。 |
||
Klocwork | Perforce | 美国 | 链接:https://www.perforce.com/products/klocwork 能力还不错,步骤很规整。 |
|
SonarQube | Sonar | 链接:https://www.sonarsource.com/products/sonarqube/ 靠开源部分的检查,使SonarQube的市场占有率很高,但是说实话,商用独有的检查能力和其他工具比弱了点儿。但是算起来,如果是小批量工程扫描,使用体验会比较好,而且有比较强大的第三方工具的集成能力。 |
||
Helix QAC | Perforce | 链接:https://www.perforce.com/products/helix-qac | ||
Snyk Code | Snyk | 链接:https://snyk.io/product/snyk-code/ | ||
LGTM | 微软? | 美国 | Datalog | 链接:https://codeql.github.com/ 前面给的链接是CodeQL的链接,CodeQL是一种DSL,其引擎是LGTM。该工具如果用来扫描开源代码,或者纯实验性质的挖漏洞,是免费的,但是如果要集成到企业内部,就需要收费。 |
PC-Lint | Vector Informatik | 美国? | 链接:https://pclintplus.com/pc-lint-plus/ C/C++,基于clang开发。该工具原来应该是美国的一家公司开发,但是目前被总部位于德国的公司收购,但是我理解,PC-Lint如果出售,应该受到美国实体清单的影响。 |
|
PVS-Studio | 链接:https://pvs-studio.com/en/ C,C++,C#,Java 代码检查 |
|||
Svace | ISP | 俄罗斯 | 链接:https://www.ispras.ru/en/technologies/svace/ C/C++部分基于clang开发,能力也还可以,需要结合一些实际场景再多进行一些打磨 |
|
CodeSonar | GrammaTech | 链接:https://www.grammatech.com/our-products/codesonar/ | ||
Veracode SAST | Veracode | 链接:https://www.veracode.com/products/binary-static-analysis-sast 该工具是基于二进制的SAST |
||
Axivion Suite | axivion | 链接:https://www.axivion.com/en/products/axivion-suite/ | ||
CodeArts | 华为云 | 中国 | 云平台 | 链接:https://www.huaweicloud.cn/devcloud/ 华为云上面的代码检查服务,是 CodeArts 的一部分,名字是 CodeArts Check,最大的优势是可以针对众多的开源工具提供了一站式的检查,当然也有外溢公司内部自研的检查工具。 |
Codeup | 阿里云 | 中国 | 云平台 | 链接:https://cn.aliyun.com/product/yunxiao/codeup 阿里云效Codeup,跟华为云上面的CodeArts差不多的产品。其代码检查部分,集成了原来的源伞的Pinpoint,同时也有专门的敏感信息检查SecretRadar、依赖包漏洞检查等自研检查工具。 |
TCAP | 腾讯云 | 中国 | 云平台 | 链接:https://cloud.tencent.com/product/tcap 腾讯云上面的代码检查服务,集成了众多开源和自研代码分析工具。有点儿跟华为云的 CodeArts 比较像。 |
鸿渐SAST | 鸿渐科技 | 中国 | 值流分析 | 链接:http://www.redrocket.cn/SAST/ 前几年也测评过这款工具,能力不错,主要我对他们的实现技术比较认可,少有的从基础打磨的检查工具。 |
PinPoint | 源伞 | 中国 | 值流分析、定理证明 | 链接:https://www.sourcebrella.com/ 参考链接中的介绍。技术水平比较高,大家可以参考其发的部分论文了解相关的实现。现在被蚂蚁收购。 |
代码卫士 | 奇安信 | 中国 | 链接:https://codesafe.qianxin.com/#/home 参考链接中的介绍。前些年测评过该工具,当时对java支持很不错,最近进展不清楚。 |
|
WuKong | 中科天齐 | 中国 | 链接:https://www.woocoom.com/ | |
SpecChecker | 轩宇信息 | 中国 | 链接:http://www.sunwiseinfo.com.cn/specchecker | |
CodePecker | 酷德啄木鸟 | 中国 | 链接:http://www.ionitech.cn/security/codepecker/ | |
Corax | 蜚语安全 | 中国 | 链接:https://feysh.com/#/product | |
SCAP | 海云安 | 中国 | 链接:https://www.secidea.com/scap.html | |
CodeSec | 开源网安 | 中国 | 链接:https://seczone.cn/channels/SDL-SAST.html | |
找八哥 | 思客云 | 中国 | 链接:http://gitlab.mapath.com/#/product/ZBG_SAST | |
行道SAST | 孝道科技 | 中国 | 链接:https://www.tcsec.com.cn/product/sast | |
雳鉴SAST | 默安科技 | 中国 | 链接:https://www.moresec.cn/ | |
Swift Code | 固源科技 | 中国 | 链接:https://www.gysecurity.cn/code.html 不需要编译、运行,好像是直接扫描源码的? |
|
- 点赞
- 收藏
- 关注作者
评论(0)