开源网安CodeSec代码审核平台_源代码安全审计与质量分析系统

开源网安CodeSec代码审核平台

开源网安CodeSec代码审核平台，可以100%分析代码库，几分钟即可扫描数百万行代码。自动识别关键漏洞，如缓冲区溢出、SQL注入、跨站点脚本等。可以支持20+种以上语言，静态分析工具，对所用的编程语言写入的应用执行代码审查。提供从污染源到语句执行处的图形介绍，轻松查看代码。

立即咨询

首页 > 产品中心 > 网络安全 > 开源网安CodeSec代码审核平台

软件漏洞：网络攻击的主要目标 icon

软件漏洞分布在网络的各个层面，包括网络安全设备；同时，可能“产生”在软件生产的各个环节！

软件安全：SAST优势 icon

不执行代码测试

SAST不会破坏构建成果或将漏洞传递到最终应用版本。SAST在测试时不需要应用运行，可以在不执行代码的情况下进行测试。

高覆盖度

可以100%分析代码库，几分钟即可扫描数百万行代码。自动识别关键漏洞，如缓冲区溢出、SQL注入、跨站点脚本等。

实时性

可以在开发人员编码时提供实施反馈，在代码传递到SDLC下一阶段前解决问题。

图形化

提供从污染源到语句执行处的图形介绍，轻松查看代码。

支持多语言

可以支持20+种以上语言，静态分析工具，对所用的编程语言写入的应用执行代码审查。

定期检测

必须定期在应用上运行SAST工具，每天/月的构建工作中，每次登记代码时或发布代码期间。

从软件生产源头开始安全实践，提升软件安全质量，消除潜在风险 icon

SAST工具解决什么问题 icon

从软件生产源头开始安全实践，提升软件安全质量，消除潜在风险。静态应用安全测试（SAST）在软件开发生命周期，也就是SDL的早期阶段进行。能够帮助开发人员，在开发早期（编码阶段）发现并识别代码中的安全缺陷，并快速定位和修复问题，不会破坏原来的构建流程，可以避免将漏洞传递到发布的产品中，可以最终解决软件自身安全问题。

快速定位代码安全问题
在不运行程序的情况下测试代码，可以促进漏洞的高效补救，可精确定位代码中的潜在安全缺陷，并提供详细的漏洞描述和修复建议，帮助开发快速理解和修复代码中的安全问题。

100%代码安全检测覆盖率
静态应用安全测试工具可以提供比其他应用安全测试工具高得多的代码覆盖率，可实现100%的代码检测覆盖率。可访问应用程序的源代码和应用程序的输入，包括用户界面中没有暴露的隐藏输入等。

安全左移方法重要组成部分
开发人员在开发生命周期的早期使用SAST工具，包括直接从IDE中对单个文件进行分析。在SDL的早期发现错误，大大降低了问题的修复的成本。与DevSecOps体系工具链的组成重要组成。

SAST工具所处DevSecOps位置 icon

源代码静态安全检测SAST技术实践现状 icon

开源网安代码审核平台 CodeSec 丨SAST icon

产品概述

开源网安代码审核平台(CodeSec)是全新一代静态应用安全测试(SAST)解决方案，主要用于软件代码安全审核和质量分析，提供漏洞详情和修复方案，帮助开发、测试和安全团队在软件安全开发的早期发现并修复漏洞，降低软件安全问题的修复成本，提升软件安全质量，不断提高软件开发人员的安全开发水平。

产品效果

快速定位代码安全缺陷

100%源代码安全检测覆盖率

全面检测代码安全性和编码规范

降低软件安全问题的修复成本

开源网安代码审核平台 CodeSec 丨SAST icon

开源网安代码审核平台能力框架 CodeSec 丨SAST icon

检测工作原理

核心功能-支持分布式部署 icon

产品优势

支持分布式部署、Docker形式部署，实现资源的动态伸缩。应用服务器本身支持水平扩展，也就是一台应用服务器可以连接多个引擎服务器。鉴于不同规模项目消耗资源不同，可以对资源进行更合理的配置，例如超过300万行代码项目，需要64G以上内存，则在任务调度时，除了根据引擎服务器空闲情况进行调度之外，对于超过300万代码项目，可以调度到64G内存以上的引擎服务器上进行扫描。

核心功能-组织和团队管理 icon

核心功能-与CI/CD有效集成 icon

核心功能- DevSevOps体系构建 icon

核心功能-质量感知能力 icon

核心功能-上亿规模代码检测能力 icon

产品优势-容器化动态部署引擎 icon

价值分析：1、通过集群部署可实现资源的动态伸缩，完成大规模的代码安全检测任务；2、增加产品应用场景的扩展性，提升产品竞争力。

产品优势-合规标准支持 icon

产品优势-动态扫描支持 icon

产品优势-其他

国产自研，技术可控
开源网安专注软件安全行业10余年，安全扫描工具完全自主研发；与麒麟、统信、中科红旗操作系统、宝德服务器、达梦、人大金仓数据库成功完成信创适配；获得7项发明专利

功能全面，适配多种业务需求
产品全面覆盖代码安全缺陷、代码质量、代码合规、开源组件风险检测，支持按照国际、国内、行业不同检测规范检索展示扫描结果

行业经验积累和漏洞分析研究
基于多年对安全漏洞和代码缺陷的研究，形成了丰富的代码检测规则，开源网安专业安全团队跟踪缺陷规则定期更新，紧急漏洞实现快速更新

专业的原厂支持和服务
依托国内原厂强大的产品交付和安全服务体系，可为用户提供多元化、专业化的原厂技术支持和服务

CodeSec VS Fortify|Checkmarx|Coverity|Klocwork icon

客户分类

开源网安已在金融、能源、政府监管、大型软件企业、车联网、医疗等行业积累了200+成功案例，客户包含：工商银行、建设银行、平安银行、中信银行、微众银行、国信证券、中国石油、国家电网、华为、中兴、亚信、华润集团、百度、金蝶集团、碧桂园、IBM等大型企业，为客户提供全面的软件安全解决方案。

成功案例 | 央企行业 | 出口信用保险 icon

客户背景：中国出口信用保险公司拟采购一款适配信保技术栈及研发流程的静态代码扫描工具，实现自动执行扫描，尽早定位代码错误、漏洞及可疑风险，在不降低效率的前提下，提升代码质量。客户需求：替代原Sonarqube代码质量管理平台，打造适合信保源代码质量评估体系，实现对接信保自研DevSecOps流水线系统，44项定制化开发，4个月内完成交付。客户价值：通过建设CodeSec代码审核平台，落实集团代码质量管控要求。提供了基于SAST的核心技术，完成国外同类平台替代，有利支撑起企业级项目高质量落地。紧密结合IT架构规划设计，对接用户自研DevOps流水线作业。定制化开发服务适配信保技术栈及研发流程，目标应用的测试覆盖度提升了100%。提升了安全部门、研发部门的代码质量管控能力，达到安全左移并降低成本的目标。

成功案例 | 大型企业| 金蝶 icon

客户背景：（「金蝶国际」或「金蝶」）始创于1993 年，是香港联交所主板上市公司（股票代码：0268.HK），续16年稳居中国成长型企业应用软件市场占有率第一、更连续2年在中国企业级应用SaaS云服务市场占有率排名第一，连续4年在中国企业级ERM SaaS （即云ERP）、财务SaaS市场占有率第一。金蝶是目前唯一入选Gartner全球市场指南（Market Guide）的中国企业SaaS云服务厂商。

客户需求：作为华为的供应商，需要满足甲方的软件质量检测要求务；S-SDLC工具链 SaaS化服务，为金蝶SaaS云提供软件安全能力服务；安全体系支撑建设，规范安全管理流程。

客户价值：把安全控制线提前，大幅降低安全人员工作量。源代码安全扫描覆盖金蝶苍穹和金蝶星空两大产品线数1800个项目应用，保障软件上线前的安全。大幅提升软件的安全质量的同时，也满足了华为对供应商软件安全的要求。

成功案例 | 科技企业| 碧桂园 icon

碧桂园集团，成立于1992年，2007年就已在香港上市的恒生指数成分股公司、《财富》世界500强企业，碧桂园在2020年的纳税额达到653亿元人民币。

客户需求：客户为了满足互联网业务上线，以及大量用户信息的安全，投入较大的资金改善软件安全问题。客户希望构建从SAST+DAST解决方案，并整合到统一平台进行管理。为了加强企业软件安全，提高软件源代码安全质量，降低产品上线后的安全风险和漏洞修复成本。竞争优势：业务最专业，业内口碑好。

客户价值：通过自动化检测平台，实现了代码审核和灰盒安全测试，通过上线卡点，将代码审计嵌入软件上线安全评估流程中，提高软件项目安全性；将安全活动融入到开发、测试环节，实现了安全“左移”；通过Codesec的年度扫描数据，整理碧桂园常见top10漏洞，编写修复指南和开展代码安全相关培训，提高开发人员编码安全意识。

案例概览