8款代码分析工具对比测试,快来看哪款适合你 – 作者:代码安全小王子

最近,我调研了很多产品的功能及 POC,下面分享一些调研心得,希望对大家有所帮助。

01. 百度搜索

百度搜索“代码分析工具”,虽然发现不少相关工具,但其数据准确性还有待商榷,且具体功能也需进一步 POC。

02. 开源工具

我们研究过findbugs[1]的sec版、sonar[2]和cobra[3]等开源工具。它们虽然使用起来方便高效,但达不到项目要求的安全标准。不过测出的严重问题并不多。

03. 商用产品POC范围确认

根据Gartner和国内权威第三方调研机构的调研,我们选出了若干获得普遍认可的工具,如国外的Fortify[4]、checkmarx[5]、Klocwork[6]和Coverity[7],国内的代码卫士[8]、Wukong[9]、鸿渐SAST[10]和酷德啄木鸟[11]。

根据项目需求,我们亦针对上述产品做了 POC,汇总如下:

表1:国外产品对比(含鸿渐SAST)

图片[1]-8款代码分析工具对比测试,快来看哪款适合你 – 作者:代码安全小王子-安全小百科注:国外工具1-4为Fortify、checkmarx、Klocwork和Coverity中的某一款,排序无对应关系。

表2:国内产品对比

图片[2]-8款代码分析工具对比测试,快来看哪款适合你 – 作者:代码安全小王子-安全小百科注:国内工具1-3为代码卫士、Wukong和酷德啄木鸟中的某一款,排序无对应关系。

大家若想选出合适的工具产品,首先要根据项目需求确定供应商范围,然后再根据 POC 测试数据进行最终工具确定。以下是通过这次调研,我们总结的一个确定供应商的方法,供大家参考:

图片[3]-8款代码分析工具对比测试,快来看哪款适合你 – 作者:代码安全小王子-安全小百科

通过此次调研,我们发现越来越多优秀的国产工具开始崭露头角,尤其是鸿渐科技的代码扫描工具 SAST,通过 POC 结果看,完全能支撑项目的大部分需求。相信随着它不断发展,还会越来越好。

贸易战以来,美国对我国的打压已扩大到科技领域。国产替代的趋势亦逐渐盛大。“青山遮不住,毕竟东流去。”,相信中国必将突破外部封锁,驶入浩瀚大洋扬帆远航。国内代码分析企业也将迎来自己的高光时刻。

以上就是这次调研的分享,大家有什么想法欢迎后台发消息一起讨论~

参考资料:

[1].http://findbugs.sourceforge.net/

[2].https://www.sonarqube.org/

[3].http://cobra.feei.cn/

[4].https://www.joinfortify.com/

[5].https://www.checkmarx.com/

[6].https://www.perforce.com/products/klocwork

[7].https://scan.coverity.com/

[8].https://www.qianxin.com/

[9].https://www.woocoom.com/

[10].http://www.redrocket.cn/

[11].http://www.codepecker.com.cn/

来源:freebuf.com 2021-07-05 10:44:24 by: 代码安全小王子

相关推荐: REvil团伙在Kaseya供应链攻击中索要7000万美元 至少影响1,000家公司 – 作者:中科天齐软件安全中心

软件制造商 Kaseya Limited敦促其 VSA 端点管理和网络监控工具的用户立即关闭 VSA服务器,以防止在广泛的勒索软件攻击中受到损害。REvil勒索软件运营商最初破坏了Kaseya VSA的基础设施,然后推出了VSA内部部署服务器的恶意更新,以在企…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论