孝道科技行道SAST静态代码审计系统_代码安全漏洞识别分析系统

立即咨询

立即试用

商务合作

孝道科技行道SAST静态代码审计系统

孝道科技行道 SAST 静态代码审计系统，整合代码安全漏洞识别分析系统与自动化代码质量分析工具核心功能。可静态扫描源代码、精准识别安全漏洞，自动化分析代码质量，助力企业在开发阶段规避风险，提升代码安全与合规性。

立即咨询

代码审计的必要性

代码审计是什么

源代码审计是一种发现程序中存在的安全缺陷和程序错误（BUG）的技术手段
它对软件的源代码采用静态的语法分析、语义分析、控制流分析、数据流分析等技术来发现其中存在的潜在问题相对于传统的黑盒程序测试手段，源代码静态分析是一种白盒的软件检测手段。
基于黑盒的测试无法了解到软件内部的运行逻辑和具体实现，而白盒检测可以看到软件内部实现的所有细节，因此基于源代码的检测能够更全面、更彻底的发现软件中存在的问题。

代码审计的必要性

黑客攻击的主要目标一软件本身的安全漏洞根据美国国家标准与技术研究院(NIST)统计，如今的黑客攻击超过90%主要是利用软件本身的安全漏洞，这些漏洞是由不良的软件架构和不安全的编码产生的。

代码审计的必要性

满足《法律、标准、指南、规范》等监管要求网络安全法。

网络安全法

《中华人民共和国网络安全法》第三十三条规定，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。该条规定，明确了关键信息基础设施的安全工作应该前移，在信息系统的规划阶段就应该保证安全技术措施的介入。

中国人民银行

《JR/T 0068-2020网上银行系统信息安全通用规范》6.3.5 安全建设管理 e) 测试验收:金融机构对交付版本的应用程序源代码进行安全审计;金融机构应建立对应用程序及源代码进行定期安全检测的机制。

国家标准/公安部

《GB/T 22239-2019信息安全技术网络安全等级保护基本要求》9.1.9.4,91.9.4 :应制定代码编写安全规范，要求开发人员参照规范编写代码;应在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意代码进行检测;应保证开发单位提供软件源代码，并审查软件中可能存在的后门和隐蔽信道。

银保监会

《银行保险机构信息科技外包风险监管办法》第三十二条:(三)对信息系统开发交付物(含拥有知识产权的源代码)进行安全扫描和检查。

代码审计系统

行道SAST通过了解软件内部的运行逻辑和具体实现、采用静态的语法、语义、控制、数据流等分析技术挖掘软件程序的源代码中存在的潜在缺陷和错误，从而对源代码安全漏洞进行定级，给出安全漏洞分析报告。帮助软开的管理人员统计和分析当前阶段软件安全的风险、趋势，跟踪和定位软件安全漏洞，提供软件安全质量方面的真实状态信息。

代码审计系统产品核心功能 icon

支持10余种主流编程语言的源代码安全检测、

自定义缺陷规则集，对项目类型、代码量等做有效的深度检测，

百万行级别源代码分析，可灵活选择全量或增量分析方式，

缺陷按照CWE、OWASPTop10、PCI等安全标准分类、分级。

生成可视化展示图，多维展示安全缺陷情况。

代码审计系统

支持对多种编程语言的分析检测。

多主流语言的支持

JAVA、JSP、C、C++、Javascript、SQL、PHPPython、Objective-C、Swift、Kotlin、Go、Lua、Fortran 、Shell. Dart。

参考标准

源代码安全分析应包括但不限于常见 CWE 和 OWASP，CVE 的缺陷定义，涵盖设计、实现过程中出现的常见重要安全问题。

主要语言缺陷种类

Java/jsp：500+c/c++:190+

php：90+python:100+。

代码审计系统

操作系统支持：windows、Linux。

产品形态：

纯软件系统

支持实体机、云虚拟主机并发检测数不限制，根据硬件性能设置不限制系统用户数不限制检测项目数量永久license。

软硬件一体

高配置企业级服务器（CPU E5-2620*2内存128G）
可支持4个并发检测

不限制系统用户数不限制检测项目数量永久license。

Docker容器化部署

支持容器化发展趋势
按需灵活调度资源，灵活快速部署并发检测数不限制，根据硬件性能设置
不限制系统用户数不限制检测项目数量永久license。

代码审计系统

主要功能-项目管理。

代码审计系统主要功能-发起检测 icon

代码审计系统主要功能-检测结果 icon

代码审计系统主要功能-开源组件检测 icon

代码审计系统主要功能-统计分析 icon

代码审计系统主要功能-检测报告 icon

代码审计系统主要功能-缺陷知识库 icon

应用场景-自研外包

自研

在自研场景，使用工具持续对代码进行扫描，发现代码缺陷

与CI/CD集成，在不过多增加研发人力投入的情况下提升软件质量，降低问题修复成本

外包

在外包场景，对外包厂商提供的源代码进行扫描，对源代码进行安全性验收

应用场景-开发流程整合集成 icon

应用场景

接入CI/CD开发流水线：
使用部门：研发中心，安全部门

入了流水线的项目通过插件或接口在构建或合并分支时由流水线触发检测，自动调用系统检测机制对源代码进行扫描。制定检测通用规则集，可作为卡点，未通过卡点的项目可禁止发布上线。部分语言的项目没有Jenkins流水线，比如C语言项目，这些项目通过直接从代码库获取或者提交Zip包的形式进行上传扫描。每个项目组都有自己的账号，可以查看到自己的被测项目和缺陷结果。

应用场景：上传检测、对接代码库 icon

使用部门

安全部门、项目管理部门、研发部门。此类用户一般没有专门的团队负责代码审计，具体检测工作由各个项目组进行，各个项目组定期自行提交检测，由安全部门或项目管理部门进行监督管理。帮助各用户在不改变组织现有开发流程的前提下，与代码库、缺陷管理系统、持续构建工具等进行集成，实现软件源代码安全目标的统一管理、自行提交/自动化检测、缺陷定位追踪、在线审计、下载报告等功能。

检测基线/规则集

一般由厂商协助制定两类规则集，互联网系统专用规则集、内网系统专用规则集。

新项目

第一次检测是全量检测，后续按周期（按月、按周、指定时间）主要对提交的增量代码进行扫描。
版本变化较大的情况下应进行全量扫描。发版上线前进行全量扫描。

持续迭代项目

第一次检测是全量检测，开发中可进行增量扫描。发版上线前一般应进行全量扫描。检测方式:用户大多都是使用的Git、SVN代码仓库，通过仓库获取代码进行扫描。没有纳入仓库或者外包开发在最后提交源代,码的情形可通过上传zi0包的形式进行检测。

应用场景

落地、满足监管要求

补短板，代码审计工作落地，满足监管要求。

安全开发能力

安全开发；开发人员安全开发意识及安全开发水平提升。

接入开发流水线