近年来,重大安全事件频发,其中很多都与系统或软件存在的漏洞相关。尤其一些基础系统存在的高危漏洞严重影响企业业务的安全。大型企业对源代码的安全工作日益重视。然而由于诸多原因,很多企业无法对源代码检测,如何检测并保证系统安全成为了这部分企业头疼的问题。针对这一问题,一家在软件源代码信息安全领域做出突破性创新的高科技企业——北京酷德啄木鸟信息技术有限公司,就率先宣将推出一款不需源代码也可进行代码缺陷检测的工具——CodePecker字节码缺陷分析系统。
在JAVA缺陷分析上,JAVA静态缺陷产品的分析能力覆盖源代码和字节码两种形态。北京酷德啄木鸟信息技术有限公司在此基础上,根据市场需求研发的CodePecker字节码缺陷分析工具,不需要源代码,仅根据已发布的应用程序的字节码文件,就可以识软件应用的安全问题。同时,由于这款工具可以不用提供源代码,就为更大范围的代码覆盖提供了可能性。
交叉检查,为代码提供双重保护
众所周知,现有的软件开发主要有两种模式:自主研发和外包研发。自主研发可对代码进行可持续性开发,在管理上相对容易。在对源代码进行缺陷检测的时候,既可使用源代码分析工具进行分析扫描,还可使用CodePecker字节码缺陷分析工具作为复检工具。由于安全类型特征的发散和不确定性,业界一致认为在代码分析过程中,交叉检查的效果要优于单个分析工具的检测结果。因此,CodePecker字节码缺陷分析工具在无形中就为自主研发的源代码检测提供了双重防护,有效地保证了代码的安全。
无需提供源代码,实现随时随地任性“扫”
能随时检测源代码,对于自主研发的人员来说不足为奇。可相对于想要检测源代码的外包人员而言,这无疑成为了最难言说的“痛”。因为某些原因,外包团队可能无法提供对应的源码,只提供编译后的工程包(jar),如何针对这一部分产品进行代码分析就成为最棘手的问题。Codepecker字节码缺陷分析工具,就彻底为用户解决了这一难题:用户即使在对方没有提供源代码的情况下,只要拿到相应的可执行文件包就可以对代码进行检测,从而解决用户的后顾之忧,为其实现随时随地任意“扫”的需求。
国际标准,多维度覆盖安全问题
CodePecker字节码缺陷分析工具除了安全性和随意性这两大特性外,其他特点也表现不俗:重点关注应用代码的安全缺陷(SQL命令,XPath,LDAP注入,跨站脚本,隐私泄露,URL重定向);支持常见web框架(Struts、Spwing等)的行为分析;支持支持安全相关标准如CWE,OWASP Top10;简单的文件配置,简化的缺陷分析流程;深度详细的缺陷分析追踪;可视化安全审计平台;通俗易懂的缺陷分析报告。由此看出,CodePecker字节码缺陷分析工具从多个维度全面覆盖了代码安全问题,保证缺陷知识库内容的覆盖广度和深度。
可以想见,CodePecke字节码缺陷分析工具在互联网市场的推出,势必会加强企业对信息安全的保卫力度,成为巩固网络信息安全的新助力!
网友评论