SourceBrella-CSDN博客

原创国产代码审计工具Pinpoint介绍

硬核国产代码审计工具Pinpoint介绍简介Pinpoint是由国内源伞科技所研制的一款静态代码审计工具，源伞科技公司是香港科技大学安全实验室的众多博士创建的，产品集成了实验室多年的研究成果，在众多国际顶级学术会议上都发表了成果论文，在学术界有很大的影响。近几年源伞科技将静态代码检测产品Pinpoint成功商业化，目前产品已经比较成熟，能够方便的集成各种安全开发流程，操作界面流畅。能够直接扫描...

2020-02-03 17:28:00 4242

原创自动化代码审计工具源伞科技Pinpoint

自动化代码审计工具源伞科技Pinpoint介绍源伞科技Pinpoint源伞科技2016年由香港科大团队创立，立足于国际水平的学术研究积累, 秉承工匠精神，致力用最先进的自动程序分析技术保障软件质量，为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术，工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中，全面自动分析和管理程序源码中数百种常见的高危程序缺...

2020-01-21 14:30:34 2058

原创三大代码审计工具对比

三大代码审计工具的对比（源伞科技Pinpoint、Checkmarx、Fortify）源伞科技Pinpoint源伞科技2016年由香港科大团队创立，立足于国际水平的学术研究积累, 秉承工匠精神，致力用最先进的自动程序分析技术保障软件质量，为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术，工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中，全面自动分...

2020-01-21 11:07:03 4362

原创对某地铁app的一次静态扫描报告分析

本次分析从华为应用中心(app-store)下载的某地铁app分析工具使用了源伞科技Pinpoint扫描结果共计找到122个致命问题， 148个严重问题 375个中等问题以及 11537个建议改进问题。其中包括444个可能引起崩溃或异常的错误，277个安全隐私类问题以及897个执行效率低下问题。现举例如下：安全隐私高危漏洞：漏洞路径注入–该漏洞可以使得恶意攻击者覆盖任意文件...

2020-01-19 10:49:43 315

原创一款国产静态代码分析工具与Converity的对比

源伞科技Pinpoint，作为BAT都在使用的一款静态代码分析工具，到底有什么领先于其他厂商的能力？1. 扩展和部署功能对比源伞科技Pinpoint现有的检查器可以通过简单的json配置文件扩展业务逻辑。比如敏感数据泄露到日志检查器，企业或许有很多自己的日志打印函数，我们可以通过人工配置指定，即可提高检测质量。如果不想人工配置，Pinpoint有未公开发布的库函数学习工具，可以通过线下分析...

2020-01-17 12:03:31 1130

原创两款静态代码检测工具的对比

测试背景使用工具：源伞科技PinpointSonarqube测试项目：开源国产CMS软件iBase4J(6000行代码)测试结果汇总数据统计：SonarQube结果：代码错误安全隐患风格质量总量有效/总量2/64/40/936/103源伞科技Pinpoint结果：代码错误安全隐患风格质量总量有效/...

2020-01-16 11:05:10 1125

原创静态代码扫描的原理

静态代码扫描存在的价值研发过程，发现BUG越晚，修复的成本越大缺陷引入的大部分是在编码阶段，但发现的更多是在单元测试、集成测试、功能测试阶段统计证明，在整个软件开发生命周期中，30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的以上三点证明了，静态代码扫描在整个安全开发的流程中起着十分关键的作用，且实施这件事情的时间点需要尽量前移，因为扫描的节点左移能够大幅...

2020-01-15 11:29:27 3675 1

原创代码扫描工具对比

1. 概述随着网络的飞速发展，各种网络应用不断成熟，各种开发技术层出不穷，上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时，安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站，如何保证网站的安全成为一个非常热门的话题。根据IT研究与顾问咨询公司Gartner统计数据显示，75%的黑客攻击发生在应用层。而由NIST的统计显示92%的漏洞属于应用层而非...

2020-01-14 15:55:07 1574

原创代码质量静态检测工具介绍

代码静态检测程序静态分析（Program Static Analysis）是指在不运行代码的方式下，通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描，验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。目前静态分析技术向模拟执行的技术发展以能够发现更多传统意义上动态测试才能发现的缺陷，例如符号执行、抽象解释、值依赖分析等等并采用数学约束求解工具进行路径约减...

2020-01-14 14:56:09 765

原创 Java静态代码分析工具比较

给国产静态代码检测工具Pinpoint打Call! 简介本文首先介绍了静态代码分析的基本概念及主要技术，随后分别介绍了4种现有的主流Java静态代码分析工具 (Checkstyle，FindBugs，PMD，Jtest)，最后从功能、特性等方面对它们进行分析和比较，希望能够帮助Java软件开发人员了解静态代码分析工具，并选择合适的工具...

2020-01-14 12:19:36 355 1

SourceBrella的博客