代码扫描工具选型—POC结果分享

最新推荐文章于 2024-07-08 09:15:31 发布
最新推荐文章于 2024-07-08 09:15:31 发布
阅读量804 收藏 5
点赞数 1
分类专栏: 代码安全检测 开发安全 代码审计 文章标签: 安全 企业安全 信息安全 网络安全 sdl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/amilier/article/details/118031971
版权
本文分享了一次代码扫描工具的选型经历,重点对比了开源与商用产品的优缺点,如Fortify、Checkmarx、Klocwork等,并强调了POC测试的重要性。作者提出选择产品时应根据实际需求制定入围范围,指出IDE集成的双刃剑效应。此外,还提到了国内新兴的代码扫描工具,如代码卫士和鸿渐科技的产品,认为其性能不逊于国外工具,带来了惊喜。
摘要由CSDN通过智能技术生成

代码扫描工具选型—POC结果分享

最近我们安全部门要启动代码扫描工具的项目,学习大厂做SDL和开发安全。花了好大的精力去调研了解这个东西,产品功能和POC什么的,特此记录一下,也给自己做个备忘。

先说下我的调研过程和经验吧:

  • 先百度上一通搜索,发现这类产品也不少,还有一些别人的资料,但资料数据也不全准,具体咋样还得自己做POC。

  • 我们没有考虑开源的,之前用过几个开源的工具,findbugs的sec版、sonar、cobra等等,最后发现开源工具真的都挺快的,但是达不到我们的安全标准,测出问题不多,可能对小公司比较实用。

  • 商用产品POC范围确认:根据国外的gartner和国内类似gartner的调研,确认几个大家都认可的:国外的Frotify、checkmarx、Klocwork、Coverity,国内的有代码卫士、Wukong、鸿渐SAST、酷德啄木鸟。国内好像也有其他的工具,不过要么被大厂收购了,要么没获取到多少数据。

    最后上干货,根据我们的需求,针对上面的几个产品做POC,汇总了一下,内容都在这个表格里:
    在这里插入图片描述
    然后,如果大家选择产品的话,还是要先根据自己需求定一个供应商入围范围,再根据POC测试数据选最适合的。
    根据我的情况,给大家一个确定供应商入围范围的宗旨,供参考:

最低0.47元/天 解锁文章
amilier
关注
专栏目录
【面试复盘】华顺信安 白帽汇安全研究院一面
大河之犬的博客
05-25 1280
基于绿盟旧版本(Python)的端口识别插件,设计并实现了Go语言端口识别插件的核心功能,包括目标主机的端口扫描和结果分析使用多线程技术提高插件的扫描速度,通过与channel配合实现了新的并发方式,提高了对协程控制的精细程度,扫描速度提升了300%集成了常见的端口扫描技术,如TCP连接扫描、SYN扫描和UDP扫描,以确保对不同类型的目标主机都具有较高的识别准确性。
【漏洞利用】2024Hvv 283 个漏洞POC 合集分享
最新发布
weixin_58203004的博客
09-02 752
2024HVV 283 个漏洞POC 分享
Hadoop之POC测试总结
weixin_34216196的博客
01-29 6970
POC测试总结一、 测试内容测试内容测试目的其他功能测试验证产品的自动部署安装、集成统一管理、运维监控功能是否完善、对SQL的支持能力(SQL-标准、事务支持能力、索引、存储过程、UDF),混合负载管理能力存储特性及多重分区能力组件测试验证产品的数据压缩存储特性、多种计算接口支持、对异构数据库支持、数据挖掘能力压缩对性能的影响性能测试测试产品的单查询性能和并发查询...
集成500+个POC漏洞检测工具(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
07-08 878
左侧选择需要扫描的漏洞;勾选匹配指纹后,在漏洞扫描前先对URL进行指纹识别,识别到指纹的URL扫描对应指纹的POC和CMS名称为All的POC,未识别到指纹的URL进行全部POC扫描;内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
项目poc_广东省消防救援总队消防智能接处警系统示范建设单位 POC测试项目检验测试结果公示...
weixin_33316599的博客
01-14 672
广东省消防救援总队消防智能接处警系统示范建设单位POC测试项目检验测试结果公示项目名称:广东省消防救援总队消防智能接处警系统示范建设单位POC测试;项目组织单位:广东省消防救援总队;项目实施单位:广州市消防救援支队第三方检验单位:工业和信息化部电子第五研究所项目测试地点:广东省广州市天河区车陂路461号项目测试时间:2020年11月18日-2020年11月20日(不含出具报告时间);参与...
选型测试.概念验证PoC(Proof of Concept)
u010025781的博客
10-25 4205
PoC(Proof of Concept),即概念验证。通常是企业进行产品选型时或开展外部实施项目前,进行的一种产品或供应商能力验证工作。
产品选型&POC
kyle1111
09-03 2106
产品选型&POC阶段是最磨人的,就像写文章,难在开头。一方面是IT专业上的衡量指标,硬件需求、二次开发能力、配置能力、移动化功能、全球化架构、系统对接能力、售后服务能力、系统安全、为了满足业务要求需要定制开发程度;另一方面,是产品功能和业务的匹配度、用户体验、系统性能。 最重要的是产品功能和业务的匹配度,如何判断?需要梳理业务的角色+场景,功能清单上的需求,是什么角色提出的?在什么场景下...
大数据分析工具选型POC关键业务场景及需求0.3.pptx
10-14
大数据分析工具选型POC关键业务场景及需求0.3.pptx
从“来现场POC”到“去线下店体验”:我的数据治理产品选型经历
hanxiaolaa的博客
03-29 3525
本人所在的企业为亚洲领先的保险集团公司,公司业务遍布亚太地区多个国家,覆盖寿险、财险、健康险等多个险种。立足于创新、多元化的互联网保险产品与服务发展目标,作为公司数据部门的元老,我先后参与建设了公司的SMART 投保系统、UW/NB核保系统、LA个险核心系统等多个业务系统,同大部分保险企业一样,我们的软件开发能力有限,以及环境、投入等因素,我们各系统均为不同开发商基于自己对业务的理解进行规则设计与开发。对于集成这些系统的我们而言,保障系统间数据一致并能有效联动成为现今工作的至关难关:在测试环境...
安全运营项目的工作方法
weixin_47208161的博客
12-06 2017
安全运营是工作的一部分安全工作的逻辑安全团队是怎么运作的定义安全运营项目项目运营的要点计划的计划风险的风险运营方案尽量要评审过程的过程做到有法可依沟通和组织进度的监控明确闭环标准项目集的管...
2020阿里招聘岗位要求
热门推荐
遇见OFFER
06-10 2万+
职位名称 职位描述 职位要求 阿里云智能事业群-中间件业务中台架构师-北京\杭州 1、负责阿里云中台项目的实施,设计行业业务中台解决方案,根据客户需求设计并搭建业务中台,并能把设计工作付诸实现 2、根据项目需求,进行业务领域建模分析、平台架构设计、技术方案预研、核心模块技术方案设计 3、指导和培养团队和合作伙伴成员,包括评审设计文档和代码 4、与团队共同推进标杆客户,制定符合市场需求的业务中台产品功能、业务流程及推广策略,赋能业务团队拿下市场份额,推动业务中台的业务增
一款批量Poc漏洞扫描工具
qq274575499的博客
04-15 1755
POC bomber漏洞扫描工具,可以快速的扫描站点是否存在已知的漏洞。如任意文件上传、反序列化、Sql注入等高危漏洞等,方便安全测试人员进行安全检测及维护。
未授权漏洞批量扫描poc
qq_45300786的博客
08-15 2256
一般来说我们检验是否存在漏洞,都是一个个的检验。但是如果遇到了目标有很多,这个怎么办呢? 这里提供2个思路 一、msf的扫描 找到 1.1、指定文件ip扫描 192.168.100.222 192.168.100.223 192.168.100.224 192.168.100.225 192.168.100.226 这样一行一行写入文本 1.2、指定网络段ip扫描 一般都是扫C段,也就是/24就行了,尽量不要去搞A(8)、B段(16),太多了 二、楼主这里提供一些批量poc import socket
[渗透工具] - IP资产POC扫描、指纹扫描、端口爆破扫描系统
渗透测试教程
02-21 3288
地址 : https://github.com/awake1t/linglong linglong 一款资产巡航扫描系统。系统定位是通过masscan+nmap无限循环去发现新增资产,自动进行端口弱口令爆破/、指纹识别、XrayPoc扫描。主要功能包括: 资产探测、端口爆破、Poc扫描、指纹识别、定时任务、管理后台识别、报表展示。 使用场景是Docker搭建好之后,设置好你要扫描的网段跟爆破任务。就不要管他了,没事过来收漏洞就行了 功能清单 masscan+namp巡航扫描资产 创建定时爆破任务(FT
python扫描器编程_python编写简单端口扫描
weixin_42311335的博客
02-04 870
本文实例为大家分享了python编写简单端口扫描器的具体代码,供大家参考,具体内容如下直接放代码代码只支持扫描域名,要扫描IP请自己修改from socket import *from threading import Threadimport optparsePort = [80,21,23,22,25,110,443,1080,3306,3389,1521,1433]Server = ['H...
某金融企业核心存储POC测试及选型经验
weixin_70923796的博客
10-27 732
不同厂家的存储在架构技术、快照及压缩技术上有所不同,通常厂家给出的官方基准性能数据都是不开启压缩、快照、复制等技术的情况下的性能数据,但生产通常存在同时使用几种技术的情况,因此,性能测试阶段,着重在进行开启和未开启压缩、快照、复制等技术情况下的性能测试。测试采用Vdbench,在主机端发起IO,IO控制在存储实测最大值的50%,测试在各种站点故障和双活、同步情况下的存储功能情况,由于双活、同步等情况的存储性能受站点间网络延时情况影响最大,对双活及同步异步的测试不参考具体影响比例。RTO和RPO尽可能少。
pocscan扫描框架的搭建
weixin_30608503的博客
07-12 169
0x00 无意中看到了一篇文章 讲pocscan的搭建。。就比较心动 决定自己也搭建一个这样的扫描平台 0x01 安装docker 用的是ubuntu yklin 16.04 x64的系统 在更新源之后,安装了docker apt-get install docker apt-get install docker.io 这样就基本完成docke...
15000+POC漏洞扫描工具(非常详细)零基础入门到精通,收藏这一篇就够了
leah126的博客
02-09 1522
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。自定义输出结果JSON或CSV。
服务治理选型:注册中心与负载均衡的POC实践
Ribbon作为客户端软负载均衡组件,因其强大的功能、易用性和与多种工具(如RestTemplate、Feign和OpenFeign)的集成特性,被建议作为理想选择。Ribbon能够确保服务消费者端的负载均衡,即使部分节点故障也能自动切换...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值