代碼審計——四款主流的源代碼掃描工具簡介

工欲善其事，必先利其器。

在源代碼的靜態(tài)安全審計中，使用自動化工具代替人工漏洞挖掘，可以顯著提高審計工作的效率。學會利用自動化代碼審計工具，是每一個代碼審計人員必備的能力。在學習PHP源代碼審計的過程中，本人搜集使用了多款自動化工具。本文將簡要介紹其中三款比較實用的工具：

Fortify SCA（Static Code Analyzer）是由Fortify軟件公司（已被惠普收購）開發(fā)的一款商業(yè)版源代碼審計工具。它使用的數(shù)據(jù)流分析技術，跨層跨語言地分析代碼的漏洞產生，目前支持所有的主流開發(fā)語言。Fortify SCA是一個靜態(tài)的、白盒的軟件源代碼安全測試工具。它通過內置的五大主要分析引擎：數(shù)據(jù)流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態(tài)分析，分析的過程中與它特有的軟件安全漏洞規(guī)則進行地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并給于整理報告。

Checkmarx的CxEnterprise靜態(tài)源代碼安全漏洞掃描和管理方案是一款比較的、綜合的源代碼安全掃描和管理方案，該方案提供用戶、角色和團隊管理、權限管理、掃描結果管理、掃描調度和自動化管理、掃描資源管理、查詢規(guī)則管理、掃描策略管理、更新管理、報表管理等多種企業(yè)環(huán)境下實施源代碼安全掃描和管理功能。

VeraCode靜態(tài)源代碼掃描分析服務平臺是商業(yè)運營好的平臺，數(shù)千家 軟件科技公司都在使用其服務發(fā)現(xiàn)軟件安全漏洞、質量缺陷。

商業(yè)化源代碼審計工具對比

近年來，大部分安全問題來自于應用層安全，應用層的安全問題主要由軟件源代碼中的安全缺陷所導致。有關源代碼安全的研究越來越多，源代碼安全成為了解決信息安全問題的一個重要方向，也是信息安全中的一個新興領域。

在開發(fā)階段引入代碼檢測解決安全問題的思路開始被很多企業(yè)所認可。源代碼檢測屬于程序分析領域，需要具有相關領域的技術儲備，很多傳統(tǒng)的安全廠商都沒有相關的商業(yè)化技術產品。網上有很多開源的審計工具，但檢測能力、檢測精度較差，本文結合多年對源代碼檢測產品的了解，介紹三款較為成熟的商業(yè)化源代碼檢測產品。

Fortify Software公司是一家總部位于美國硅谷，致力于提供應用軟件安全開發(fā)工具和管理方案的廠商。Fortify為應用軟件開發(fā)組織、安全審計人員和應用安全管理人員提供工具并確立佳的應用軟件安全實踐和策略，幫助他們在軟件開發(fā)生命周期中花少的時間和成本去識別和修復軟件源代碼中的安全隱患。

Checkmarx 是以色列的一家高科技軟件公司。它的產品CheckmarxCxSuite專門設計為識別、跟蹤和修復軟件源代碼上的技術和邏輯方面的安全風險。了以查詢語言定位代碼安全問題，其采用的詞匯分析技術和CxQL查詢技術來掃描和分析源代碼中的安全漏洞和弱點。

360代碼衛(wèi)士是360企業(yè)安全集團基于多年源代碼安全實踐經驗推出的新一代源代碼安全檢測解決方案，包括源代碼缺陷檢測、合規(guī)檢測、溯源檢測三大檢測功能，同時360代碼衛(wèi)士還可實現(xiàn)軟件安全開發(fā)生命周期管理，與企業(yè)已有代碼版本管理系統(tǒng)、缺陷管理系統(tǒng)、構建工具等無縫對接，將源代碼檢測融入企業(yè)開發(fā)流程，實現(xiàn)軟件源代碼安全目標管理、自動化檢測、差距分析、Bug修復等功能，幫助企業(yè)以小代價建立代碼安全保障體系并落地實施，構筑信息系統(tǒng)的“內建安全”。

開發(fā)源代碼審計服務內容有哪些？

對用戶現(xiàn)有系統(tǒng)做源代碼安全審計，服務內容主要分為工具自動審計、系統(tǒng)架構分析、接口安全、敏感信息查詢、重要信息修改、輸入合法性校驗、數(shù)據(jù)傳輸加密、常見安全漏洞審計和合規(guī)控制等，覆蓋挖掘源代碼安全漏洞，合規(guī)控制；協(xié)助修復漏洞，指導安全編碼；定期匯總源代碼安全漏洞，進行針對性安全培訓；制定安全編程規(guī)范，推動安全開發(fā)等方面。

服務范圍包括使用ASP、ASP.NET（VB/C#）、JSP（JAVA）、PHP、Python、node.js等主流語言開發(fā)的B/S應用系統(tǒng)、使用C 、JAVA、C#、VB、Lua等主流語言開發(fā)的C/S應用系統(tǒng)，以及使用XML語言編寫的文件等。

1、全程化服務，有效保證服務質量

幫助用戶發(fā)現(xiàn)審計目標的安全問題，并提供的建議和指導，做到問題發(fā)現(xiàn)、修補、驗證的全程跟蹤。每一次服務都會在前一次的基礎上尋找新的突破口，大程度地保證審計目標的安全性。

2、化服務，解決方案行之有效

實施人員在源代碼安全審計、安全開發(fā)、安全加固等領域均有豐富的經驗，能夠為用戶提供切實有效的解決方案和化服務，幫助用戶解決重點、難點問題。

3、降低成本，節(jié)省投資

審計過程中，輔助運用自動化的靜態(tài)代碼審計工具，以有效節(jié)省代碼審計的人力成本，提高審計工作效率，為用戶降低資金投入。