国产代码审计工具Pinpoint介绍

硬核国产代码审计工具Pinpoint介绍

简介

Pinpoint是由国内源伞科技所研制的一款静态代码审计工具，源伞科技公司是香港科技大学安全实验室的众多博士创建的，产品集成了实验室多年的研究成果，在众多国际顶级学术会议上都发表了成果论文，在学术界有很大的影响。近几年源伞科技将静态代码检测产品Pinpoint成功商业化，目前产品已经比较成熟，能够方便的集成各种安全开发流程，操作界面流畅。能够直接扫描JAVA的二进制文件，在Java和c/c++两种语言上的分析能力十分强大，扫描速度普遍快于市面上现有的产品，且拥有众多国内一线互联网以及金融公司的安全开发实例经验，不仅能够输出工具产品，也能够提供安全开发的解决方案，在国内静态代码分析领域处于领先地位。

高精度高性能的定理证明分析器

众所周知，传统的静态代码扫描技术中，主要有以下四种分析和检查原理

• 缺陷模式匹配
  事先从代码分析经验中收集足够多的共性缺陷模式，将待分析代码与已有的共性缺陷模式进行匹配，从而完成软件安全分析。优点：简单方便；缺点：需要内置足够多的缺陷模式，容易产生误报。

• 类型推断/类型推断
  类型推断技术是指通过对代码中运算对象类型进行推理，从而保证代码中每条语句都针对正确的类型执行。

• 模型检查
  建立于有限状态自动机的概念基础上。将每条语句产生的影响抽象为有限状态自动机的一个状态，再通过分析有限状态机达到分析代码目的。校验程序并发等时序特性。

• 数据流分析
  从程序代码中收集程序语义信息，抽象成控制流图&#x