国产代码审计工具Pinpoint介绍

最新推荐文章于 2024-04-23 09:49:02 发布
最新推荐文章于 2024-04-23 09:49:02 发布
阅读量4k 收藏 3
点赞数 1
分类专栏: 产品介绍
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SourceBrella/article/details/104152978
版权

硬核国产代码审计工具Pinpoint介绍

简介

Pinpoint是由国内源伞科技所研制的一款静态代码审计工具,源伞科技公司是香港科技大学安全实验室的众多博士创建的,产品集成了实验室多年的研究成果,在众多国际顶级学术会议上都发表了成果论文,在学术界有很大的影响。近几年源伞科技将静态代码检测产品Pinpoint成功商业化,目前产品已经比较成熟,能够方便的集成各种安全开发流程,操作界面流畅。能够直接扫描JAVA的二进制文件,在Java和c/c++两种语言上的分析能力十分强大,扫描速度普遍快于市面上现有的产品,且拥有众多国内一线互联网以及金融公司的安全开发实例经验,不仅能够输出工具产品,也能够提供安全开发的解决方案,在国内静态代码分析领域处于领先地位。

高精度高性能的定理证明分析器

众所周知,传统的静态代码扫描技术中,主要有以下四种分析和检查原理

  • 缺陷模式匹配
    事先从代码分析经验中收集足够多的共性缺陷模式,将待分析代码与已有的共性缺陷模式进行匹配,从而完成软件安全分析。优点:简单方便;缺点:需要内置足够多的缺陷模式,容易产生误报。

  • 类型推断/类型推断
    类型推断技术是指通过对代码中运算对象类型进行推理,从而保证代码中每条语句都针对正确的类型执行。

  • 模型检查
    建立于有限状态自动机的概念基础上。将每条语句产生的影响抽象为有限状态自动机的一个状态,再通过分析有限状态机达到分析代码目的。校验程序并发等时序特性。

  • 数据流分析
    从程序代码中收集程序语义信息,抽象成控制流图&#x

最低0.47元/天 解锁文章
SourceBrella
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一款国产静态代码分析工具与Converity的对比
SourceBrella的博客
01-17 1069
源伞科技Pinpoint,作为BAT都在使用的一款静态代码分析工具,到底有什么领先于其他厂商的能力? 1. 扩展和部署功能对比 源伞科技Pinpoint现有的检查器可以通过简单的json配置文件扩展业务逻辑。比如敏感数据泄露到日志检查器,企业或许有很多自己的日志打印函数,我们可以通过人工配置指定,即可提高检测质量。 如果不想人工配置,Pinpoint有未公开发布的库函数学习工具,可以通过线下分析...
自动化代码审计工具源伞科技Pinpoint
SourceBrella的博客
01-21 2007
自动化代码审计工具源伞科技Pinpoint介绍 源伞科技Pinpoint 源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分析和管理程序源码中数百种常见的高危程序缺...
伞源科技Pinpoint和sonarQube对比
明天是Spring的博客
06-09 646
静态扫描工具对比
探索高效Java审计:Audit-Java项目详解
最新发布
gitblog_00049的博客
04-23 385
探索高效Java审计:Audit-Java项目详解 项目地址:https://gitcode.com/ReAbout/audit-java 在这个数字化的时代,代码安全和质量已经成为软件开发的基石。Audit-Java 是一个强大的开源工具,它专注于帮助开发者发现并修复Java项目的潜在问题。本文将深入解析该项目的技术特性,应用价值及亮点,引导你更好地利用它提升你的Java开发效率和代码质量。 项...
PinPoint调研
Sodawyx的博客
09-06 223
PinPoint简介 何为pinpointpinpoint是一个分析大型分布式系统的平台,提供解决方案来处理海量跟踪数据,主要面向基于tomcat的Java 应用。 为何使用它:和如今相比, 过去的因特网的用户数量相对较小,而因特网服务的架构也没那么复杂。web服务通常使用两层(web 服务器和数据库)或三层(web服务器,应用服务器和数据库)架构。然而在如今,随着互联网的成长,需要支持大量的并发连接,并且需要将功能和服务有机结合,导致更加复杂的软件栈组合。更确切地说,比三层层次更多的n层架构变得更
一款好用的国产软件源代码缺陷分析平台 — CodeSense
ubisectech的博客
03-17 3512
采用业界先进的值流图分析技术,能够实现跨程序/跨文件的上下文敏感分析与对象敏感分析,精准的检测软件安全漏洞与质量缺陷,结合独有的智慧减负与黑白名单技术,服务于安全部门或研发团队。
(二)pinpoint笔记:过滤不需要的类和包(无嵌套子包过滤)
Jomly Kellenda的博客
03-20 803
一、位置:pinpoint.config # Needs to be a comma separated list of method,if web application then value need is empty #监控用户自定义的指定方法或者指定类的所有方法或者指定包下所有类的方法或者指定包下递归包及类的所有方法 #创建默认动态转换注册器,这个是装载像spring这样,在通过运行时扫...
Pinpoint 安装介绍
liaonanfeng88的CSDN博客
12-30 217
安装过程 :https://www.cnblogs.com/yyhh/p/6106472.html git地址:https://github.com/naver/pinpoint 插件生成借鉴:https://github.com/bbossgroups/pinpoint-plugin-generate
两款静态代码检测工具的对比
SourceBrella的博客
01-16 1097
测试背景 使用工具: 源伞科技Pinpoint Sonarqube 测试项目: 开源国产CMS软件iBase4J(6000行代码) 测试结果汇总 数据统计: SonarQube结果: 代码错误 安全隐患 风格质量 总量 有效/总量 2/6 4/4 0/93 6/103 源伞科技Pinpoint结果: 代码错误 安全隐患 风格质量 总量 有效/...
分布式链路跟踪技术
lijunpeng71的专栏
11-07 3061
一、背景 随着互联网架构的扩张,分布式系统变得日趋复杂,越来越多的组件开始走向分布式化,如微服务、消息收发、分布式数据库、分布式缓存、分布式对象存储、跨域调用,这些组件共同构成了繁杂的分布式网络,很容易出现以下问题: 一个请求经过了这些服务后其中出现了一个调用失败的问题,只知道有异常,但具体的异常在哪个服务引起的就需要进入每一个服务里面看日志,这样的处理效率是非常低的。 一个请求经过一系类服务之...
Pinpoint应用性能管理工具-其他
06-12
Pinpoint 是用 Java 编写的 APM(应用性能管理)工具,用于大规模分布式系统。在 Dapper 之后,Pinpoint 提供了一个解决方案,以帮助分析系统的总体结构以及分布式应用程序的组件之间是如何进行数据互联的。安装...
pinpoint-c-agent:它是由C ++,PHP,python语言编写的代理。 我们希望此代理支持其他语言。 到目前为止,它支持[PHP],[CC ++]和[PYTHON]
01-30
pinpoint-c-agent:它是由C ++,PHP,python语言编写的代理。 我们希望此代理支持其他语言。 到目前为止,它支持[PHP],[CC ++]和[PYTHON]-源码
应用性能管理工具Pinpoint.zip
07-18
Pinpoint 是用 Java 编写的 APM(应用性能管理)工具,用于大规模分布式系统。在 Dapper 之后,Pinpoint 提供了一个解决方案,以帮助分析系统的总体结构以及分布式应用程序的组件之间是如何进行数据互联的。安装...
Pinpoint应用性能管理工具 v2.2.0
12-07
为您提供Pinpoint应用性能管理工具下载,Pinpoint 是用 Java 编写的 APM(应用性能管理)工具,用于大规模分布式系统。在 Dapper 之后,Pinpoint 提供了一个解决方案,以帮助分析系统的总体结构以及分布式应用程序的...
Centos下分布式跟踪工具Pinpoint的完整部署记录(个人精华版本)
08-28
本篇文章详细记录了在Centos6.9下完整部署Pinpoint(分布式跟踪工具)环境的操作过程,可作为部署手册使用.有需要的朋友,请拿走
271760513/pinpoint:2.3.3 pinpoint 探针使用
10-21
pinpoint 探针,docker镜像 271760513/pinpoint:2.3.3 使用
分布式链路追踪工具pinpoint采样率原理分析
独行侠梦的博客
03-13 4175
前言一系列的服务上云后,可能分布在几千甚至几万台服务器上,服务与服务之间存在大量复杂的调用关系,而pinpoint在采集这些服务数据时,同样会产生大量的报文。在naver公司的在线门户服...
Pinpoint PHP 客户端原理分析
不务正业的乘务员
05-20 583
Pinpoint 是一个开源的 APM (Application Performance Management/应用性能管理)工具,用于监控和追踪大规模分布式系统。本文对 Pinpoint 的 PHP 客户端做了一次较深入的原理分析,后续我们将分享更多性能监控和诊断领域的技术文章。 正文开始 - ???? Pinpoint PHP Agent 利用 PHP/Zend 虚拟机提供的 Hook 机制实现,实现不修改代码就能监控 PHP 应用。该 Agent 使用 C++ 开发,各种插件除了直接写在Agent
Pinpoint详解(分布式链路追踪、链路监控)
热门推荐
junior77的专栏
06-08 1万+
英文原文:https://naver.github.io/pinpoint/1.8.4/techdetail.html 说明:【】中内容为方便解释自己加的 在这篇文章中,我们描述了Pinpoint的技术细节比如请求追踪(transaction tracing)和字节码插装(bytecode instrumentation),同时说明了应用于Pinpoint agent中的优化方法,它可以修改字节码并记录性能数据。 分布式事务追踪,基于Google的Dapper 基于Google的Dapper,Pinp
源码解析pinpoint的DefaultSqlParser代码
04-27
Pinpoint 的 DefaultSqlParser 类是用于解析 SQL 语句的工具类。它主要用于解析 SQL 语句中的表名、列名、条件语句等信息。解析过程中会涉及到正则表达式的使用。 下面是 DefaultSqlParser 类的源码解析: ``` public class DefaultSqlParser implements SqlParser { private static final String[] EMPTY_STRING_ARRAY = new String[0]; @Override public ParsedSql parse(String sql) { if (sql == null) { return new ParsedSql(EMPTY_STRING_ARRAY, EMPTY_STRING_ARRAY, false, false); } String newSql = SqlParsingUtils.removeComments(sql); newSql = SqlParsingUtils.replaceQuotationMark(newSql); List<String> parameters = new ArrayList<>(); StringBuilder parameterBuilder = new StringBuilder(); Set<String> tables = new LinkedHashSet<>(); Set<String> columns = new LinkedHashSet<>(); boolean inSingleQuoteString = false; boolean inDoubleQuoteString = false; boolean inParameter = false; int length = newSql.length(); for (int i = 0; i < length; i++) { char c = newSql.charAt(i); boolean isLast = (i + 1) == length; if (inSingleQuoteString) { if (c == '\'') { if (isLast || newSql.charAt(i + 1) != '\'') { inSingleQuoteString = false; } else { i++; } } } else if (inDoubleQuoteString) { if (c == '\"') { if (isLast || newSql.charAt(i + 1) != '\"') { inDoubleQuoteString = false; } else { i++; } } } else if (inParameter) { if (c == '?') { parameters.add(parameterBuilder.toString().trim()); parameterBuilder.setLength(0); inParameter = false; } else { parameterBuilder.append(c); } } else { if (c == '\'') { inSingleQuoteString = true; } else if (c == '\"') { inDoubleQuoteString = true; } else if (c == '?') { inParameter = true; } else if (c == ' ') { // skip } else if (c == ',') { // skip } else if (Character.isLetter(c) || c == '_') { // table name or column name int j = i + 1; for (; j < length; j++) { if (!(Character.isLetterOrDigit(newSql.charAt(j)) || newSql.charAt(j) == '_')) { break; } } String word = newSql.substring(i, j); String lowerCaseWord = word.toLowerCase(); if (SqlParsingUtils.TABLE_HINTS.contains(lowerCaseWord)) { // skip table hints } else if (SqlParsingUtils.QUERY_HINTS.contains(lowerCaseWord)) { // skip query hints } else if (SqlParsingUtils.TABLE_KEYWORDS.contains(lowerCaseWord)) { // table name i = j - 1; for (; j < length; j++) { if (newSql.charAt(j) == ' ' || newSql.charAt(j) == '\t') { continue; } else if (newSql.charAt(j) == '(') { i = j; break; } else { tables.add(word); break; } } } else { // column name columns.add(word); i = j - 1; } } } } return new ParsedSql(tables.toArray(new String[tables.size()]), columns.toArray(new String[columns.size()]), !parameters.isEmpty(), inParameter); } } ``` 其中,parse() 方法接收一个 SQL 语句作为参数,并返回 ParsedSql 对象,该对象包含解析后的表名、列名、参数等信息。 在解析过程中,首先会移除 SQL 语句中的注释和替换引号,然后遍历 SQL 语句的每个字符,根据不同的字符类型进行相应的处理。具体来说: - 如果当前字符在单引号字符串中,则跳过; - 如果当前字符在双引号字符串中,则跳过; - 如果当前字符是问号,则表示当前字符为参数,将 inParameter 标记设置为 true,并将参数添加到 parameters 集合中; - 如果当前字符是空格或逗号,则跳过; - 如果当前字符是字母或下划线,则表示当前字符为表名或列名。在往后遍历时,如果遇到空格或括号,则表示当前字符为表名,否则为列名; - 如果当前字符不属于上述任何一种类型,则跳过。 在解析过程中,还需要注意以下几点: - 如果 SQL 语句中出现了嵌套的单引号或双引号,则需要特殊处理; - 如果 SQL 语句中出现了注释,则需要移除; - 如果 SQL 语句中出现了参数,则需要将 inParameter 标记设置为 true,并将参数添加到 parameters 集合中; - 如果 SQL 语句中出现了表名或列名,则需要将其添加到 tables 或 columns 集合中。 最后,将解析得到的表名、列名、参数等信息封装到 ParsedSql 对象中,并返回即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值