最近,鴻漸科技啟動了關于SDL和開發安全的代碼分析工具項目。調研了很多產品的功能及POC,下面分享一些調研心得,希望對大家有所幫助:
1、百度搜索
百度搜索“代碼分析工具”,雖然發現不少相關工具,但其數據準確性還有待商榷,且具體功能也需進一步POC。
2、開源工具
我們研究過findbugs[1]的sec版、sonar[2]和cobra[3]等開源工具。它們雖然使用起來方便高效,但達不到項目要求的安全標準。不過測出的嚴重問題并不多。
3、商用產品POC范圍確認
根據Gartner和國內權威第三方調研機構的調研,我們選出了若干獲得普遍認可的工具,如國外的Fortify[4]、checkmarx[5]、Klocwork[6]和Coverity[7],國內的代碼衛士[8]、Wukong[9]、鴻漸SAST[10]和酷德啄木鳥[11]。
根據項目需求,我們亦針對上述產品做了POC,匯總如下:
表一:國外產品對比(含鴻漸SAST)
?注:國外工具1-4為Fortify、checkmarx、Klocwork和Coverity中的某一款,排序無對應關系。
表二:國內產品對比
?注:國內工具1-3為代碼衛士、Wukong和酷德啄木鳥中的某一款,排序無對應關系。
大家若想選出合適的工具產品,首先要根據項目需求確定供應商范圍,然后再根據POC測試數據進行最終工具確定。以下是通過這次調研,我們總結的一個確定供應商的方法,供大家參考:
通過此次調研,我們發現越來越多優秀的國產工具開始嶄露頭角,尤其是像鴻漸科技的代碼掃描工具SAST[12],目前已達國內領先,國際先進水平。通過POC結果看,也完全能支撐項目的大部分需求。相信隨著它進一步迭代發展,達到國際領先,指日可待。
貿易戰以來,美國對我國的打壓已擴大到科技領域。國產替代的趨勢亦逐漸盛大。“青山遮不住,畢竟東流去。”,相信中國必將突破外部封鎖,駛入浩瀚大洋揚帆遠航。國內代碼分析企業也將迎來自己的高光時刻。
以上就是這次調研的分享,大家有什么想法歡迎留言討論哦。
參考資料:
[1]?http://findbugs.sourceforge.net/
[2]?https://www.sonarqube.org/
[4]?https://www.joinfortify.com/
[5]?https://www.checkmarx.com/
[6]?https://www.perforce.com/products/klocwork
[7]?https://scan.coverity.com/
[11]?http://www.codepecker.com.cn/
[12]?http://www.redrocket.cn/Home/Product_introduction/index.html?id=2
來源:數世咨詢