代码扫描工具选型—POC结果分享

本文分享了一次代码扫描工具的选型经历,重点对比了开源与商用产品的优缺点,如Fortify、Checkmarx、Klocwork等,并强调了POC测试的重要性。作者提出选择产品时应根据实际需求制定入围范围,指出IDE集成的双刃剑效应。此外,还提到了国内新兴的代码扫描工具,如代码卫士和鸿渐科技的产品,认为其性能不逊于国外工具,带来了惊喜。
摘要由CSDN通过智能技术生成

代码扫描工具选型—POC结果分享

最近我们安全部门要启动代码扫描工具的项目,学习大厂做SDL和开发安全。花了好大的精力去调研了解这个东西,产品功能和POC什么的,特此记录一下,也给自己做个备忘。

先说下我的调研过程和经验吧:

  • 先百度上一通搜索,发现这类产品也不少,还有一些别人的资料,但资料数据也不全准,具体咋样还得自己做POC。

  • 我们没有考虑开源的,之前用过几个开源的工具,findbugs的sec版、sonar、cobra等等,最后发现开源工具真的都挺快的,但是达不到我们的安全标准,测出问题不多,可能对小公司比较实用。

  • 商用产品POC范围确认:根据国外的gartner和国内类似gartner的调研,确认几个大家都认可的:国外的Frotify、checkmarx、Klocwork、Coverity,国内的有代码卫士、Wukong、鸿渐SAST、酷德啄木鸟。国内好像也有其他的工具,不过要么被大厂收购了,要么没获取到多少数据。

    最后上干货,根据我们的需求,针对上面的几个产品做POC,汇总了一下,内容都在这个表格里:
    在这里插入图片描述
    然后,如果大家选择产品的话,还是要先根据自己需求定一个供应商入围范围,再根据POC测试数据选最适合的。
    根据我的情况,给大家一个确定供应商入围范围的宗旨,供参考:

  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值