服務器端組件:
酷探SAST Core Server: 監控Schedule Service���,Scan Service����,Engine Service三個服務的運行健康指標���,如果有服務出現Crash的情況����,就重新啟動改服務��。
酷探SAST scan Server: 接收Schedule Service的請求�,根據請求的參數去執行抓取源代碼并且提交Engine Service進行漏洞掃描和分析�。
酷探SAST schedule Server: 根據用戶配置的執行時間�,定時調用Scan Service去抓取源代碼���,并且提交 Engine Service進行源代碼分析����。
酷探SAST Engine Server: 根據規則對提交的源代碼進行漏洞分析�����,并且將分析結果持久化���。
Web Server: 作為數據交換以及業務處理的核心服務���,處理用戶請求及返回結果�。
Web Portal Server: 用戶可以通過瀏覽器設置掃描參數���,提交需要掃描的源代碼并且生成掃描報告���。
客戶端組件:
Web瀏覽器(IE��、Chrome����。��。�����。)���、GIT����、SVN����、TFS����、Eclipse Plugin��、 Visual Studio Plugin�、JRIA�����、SDK開發接口及其它第三方組件集成�。
產品界面:
主要功能及特性:
操作系統獨立���。代碼掃描不依賴于特定操作系統���,只需在在企業范圍內部署一臺掃描服務器�����,就可以掃描其它操作系統開發環境下的代碼���。
編譯器獨立�、開發環境獨立��,搭建測試環境簡單快速且統一���。由于采用了獨特的虛擬編譯器技術���,代碼掃描不需要依賴編譯器和開發環境����,無需為每種開發語言的代碼安裝編譯器和測試環境��,只需要通過客戶端����、瀏覽器�、開發環境集成插件登錄到we服務器���。
工具學習�����、培訓和使用的成本少����,最小化影響開發進度�。由于編譯器��、操作系統和開發環境獨立���,使用者無需去學習每種平臺下如何去編譯代碼�����,調試代碼���、如何掃描測試代碼���,無需去看每種平臺下繁瑣的使用手則���。因為酷探代碼掃描系統服務只需要提供源代碼即可掃描���,并給出精確的掃描結果��。
低誤報����。 酷探SAST企業服務在掃描過程中全面分析應用的所有路徑和變量�。準確地分析結果����,驗證可能的風險是否真正導致安全問題�����,自動排除噪音信息�����,掃描結果幾乎就是最終的分析結果����,誤報率(False Positive)幾乎為零����。極大的減少了審計分析的人工勞動成本���,極大節省了代碼審計的時間����,為開發團隊贏得更多的開發時間����。
安全漏洞覆蓋面廣且全面 (低漏報)�����。數以百計的安全漏洞檢查適合任于何組織����,支持最新的OWASP ����、CWE��、SANS���、PCI�、SOX�����、GDPR�����、等國際權威組織對軟件安全漏洞的定義���,同時支持中國國家源代碼安全檢測標準(GB/T34944-2017 Java���、GB/T34943-2017 C/C++��、GB/T34946-2017 C#�����、GBT-39412-2020….)�。漏洞覆蓋面廣���,安全檢查全面�,其自定義查詢語言可以讓用戶靈活制定需要的代碼規則�,極大的豐富組織特定的代碼安全和代碼質量的需要�����。
安全規則自定義簡單高效�。由于公開了所有規則實現的細節和語法��,用戶可以快速修改規則或者參考已有的規則語句自定義自己需要規則��,規則學習�,定義簡單高效����。能快速實現組織軟件安全策略���。
業務邏輯和架構風險調查���?�?崽酱a掃描系統服務可以對所有掃描代碼的任意一個代碼元素(詞匯)做動態的數據影響�、控制影響和業務邏輯研究和調查���。分析代碼邏輯和架構特有的安全風險���,并最后定義規則精確查找這些風險�。這是目前唯一能動態分析業務邏輯和軟件架構的靜態技術����。
攻擊路徑的可視化����,并以3D形式展現��。每一個安全漏洞的攻擊模式和路徑完全呈現出來���,以3D圖形的方式顯示�,便于安全問題調查和分析���。
支持主流語言:Java����、JSP����、JavaSript���、VBSript�、C#�、ASP.net�、VB.Net��、VB6���、C/C++���、ASP���、PHP��、Python���、Swift�、Ruby�、Perl��、PL/SQL���、Android�����、OWASP ESAPI��、MISRA�����、Objective-C (iOS)���、API及第三方語言��。
服務獨立�����,全面的團隊掃描支持���。作為服務器運行�。開發人員���、管理人員和審計人員都可以憑各自的身份憑證從任何一處登錄服務器��,進行代碼掃描���、安全審計����、團隊�、用戶和掃描任務管理�����。
高度自動化掃描任務��。自動集成版本管理(SubVersion�����、TFS���、Git�����、其它)��、SMTP郵件服務器和Jenkins�、Windows賬戶管理���,實現自動掃描代碼更新��、自動掃描���、自動報警和自動郵件通知等,無縫集成CI/CD DevOPs安全開發和運營���。
支持多任務排隊掃描�、并發掃描�����、循環掃描����、按時間調度掃描�����,提高團隊掃描效率�。
云服務實現:支持跨Internet實現源代碼安全掃描“云服務”���?���?焖贋榻M織搭建源代碼掃描分析服務平臺����。
支持最佳修復位置建議 ��,圖形顯示最佳修復點�����,節約問題修復時間和成本��。
支持客戶化平臺定制:定規則�����、定策略���、定界面�、定報告�����、定流程�、定規范及接口集成���。
企業級源代碼安全漏洞和質量缺陷掃描分析服務平臺—酷探SAST
