几款静态扫描工具(SAST)的比较

已于 2022-11-18 20:05:53 修改
阅读量9.6k 收藏 11
点赞数 3
分类专栏: SAST 文章标签: 安全
于 2022-01-25 17:57:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimmyleeee/article/details/122689163
版权

最近因为要提高代码安全,需要调查一下市场上的SAST工具,看看是否有哪些工具能够更好滴满足公司提高安全开发和安全集成的需求。经过大量的调查把各种工具的一些特性罗列如下:

参数CheckmarxShiftLeftSnykCoverityVeracodeContrastFortifySonarqubeCodeQLSemggrep
支持语言JavaScript,
Java,PHP,
Python,
Swift,Go
Scala,.Net,
C,C++,
Android,
Ruby,Perl,
Groovy		JavaScript,
Java,Golang,
Python, Scala,C#		JavaScript,
Java,TS,
C#,
PHP,
Python,
Ruby,GO		JavaScript,
Java,PHP,
Python,
Swift,Go
.Net,
C,C++,C#
Android,
Ruby,Perl,
Objective-C,
Swift,
Kotlin		JavaScript,
Java,PHP,
Python,
Swift,Go
Scala,.Net,
C,C++,C#
Cordova,Kotlin,
Groovy,Titanium		JavaJavaScript,
Java,PHP,
Python,
Swift,Go
.Net,
C,C++,C#
Android,
Ruby,
Objective-C,
Swift,Kotlin		JavaScript,
Java,PHP,
Python,
C,C++,C#,
JS/TS		JavaScript,
Java,
Python,
Go
.Net,
C,C++,C#,
Ruby,
TypeScript		JavaScript,
Java,PHP,
Python,
Go,
Kotlin,
C,C++,C#,
HTML
是否需要可
构建的代码		NONOYesYesNONOYesYesYesNO
是否支持
扫描二进
制文件		NOYesNONOYesYesNONONONO
是否支持
自定义规
YesYesNONOYesYesYesYesYesYes
支持的框
架结构
(只列出
常见的
Java和JS
的主要常
用框架)		Struts,JPA,
Spring MVC/Boot,
iBatis,
Hibernate
,Jquery,
Node.js,
Ajax,
Angular.js,
Express.js,
Handlebars,
ReactJS,
Vue.js		Struts 2.x,
Spring MVC,
Spring WebFlux,
Node.js,
Angular.js,
ReactJS,
Vue.js		Apache Camel,
Struts,
Spring MVC,
Spring JDBC,
React,
Vue.js,
Express,
jQuery		Spring MVC/Boot,
HIbernate,
iBatis,
JPA,
Struts,
Handlebars,
jQuery,
Angular.js,
vue.js,
jQuery		Spring Boot,
Spring Core,
Spring Data Access,
Spring MVC,
Spring Security,
Struts, Servlets,
Hibernate
Angular.js,
Node,js,
React.js,
vue.js,
Handlebars,
Hogan.js,
Mustache.js		J2EE,
Jsp,
Spring MVC		SpringMVC,
Node,js,
Angular,js,
jQuery

Struts, Spring,

Hibernate,

Thymeleaf
ReactJS,

Vue.js,

Flow

Spring MVC,
Spring Boot,
Mybatis,
iBatis,JPA,
Handlebars,
jQuery,
Angular,js,
vue.js,
node.js		Vue.js
是否提供
IDE插件		YesYesYesYesYesYesYesYesYesYes
支持CI、
CD集成		Jenkins,
Bamboo,
TeamCity,
Azure Pipelines,
AWS CodeBuild,
AWS Code
Pipeline,
Sonarqube,CLI		Jenkins,
Github,
Gitlab CI,
Azure Pipelines,
Bitbucket
Pipelines,
Bamboo,
Circle CI,
GoCD,
TeamCity,
Travis		Jenkins,
Circle CI		Jenkins,
Azure Devops		CLIUnknownBamboo,
Jenkins,
Github Action,
Gitlab CI,
Azuer pipelines,
Bitbucket
pipelines, AWS		Jenkins,
Github Action,
Gilab CI,
Azure Pipelines,
Bitbucket
Pipelines		CLIUnknown
是否可以
修改漏洞
的修改方
案和漏洞
描述		YesUnknownUnknownNOUnknownUnknownNONO,不过,可以添加扩展描述。YesYes
在UI中显
示源代码
和调用栈
互动		YesNOYesYesYesUnknownYesNo. Only show the trigger point.YesUnknown

对于Unknown的部分,后续会再补充,如果您知道一些,也欢迎回复本文章,我看到后,会及时更新。

这里只是列出来参考,具体信息还需要去各个工具的网站消息调查。当然,这几条只是大概了解一个工具是否能够在大方向上满足SAST扫描的需求。关于SAST最终的指标,误报率和漏报率以及扫描速度,还需要亲自去试用并且认真测试才能够拿到一手资料。

jimmyleeee
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
软件源代码静态分析工具(CoBOT SAST)
alwayssun的博客
04-22 3773
北京大学和北大软件出品软件源代码静态分析工具
TypeScript自学课(5)-使用TSC编译TS
发果叁
06-16 2757
在上一章中,我们介绍了TSC工作,但是并没有完整的走完一个使用流程,本文,我们通过一个add函数来学习编写TS代码的流程。在编码之前,是需要配置好TSC的配置文件,执行 初始化项目,自动生成文件,并默认配置项。对于一个前端项目,肯定是分文件夹的。例如:我们的代码可能是放在src下面,如果有使用npm拉取使用第三方包,会生成文件夹。src我们是需要编译的,但是是不需要编译的,我们就需要将排除掉,就像是webpack打包也会配置排除TSC提供了和来配置编译和忽略文件。 启动监听,不打包 此时你会在控制台发现,
深入了解现代 SAST 工具​​
why811的博客
07-14 205
我希望这有助于概述 CodeQL 和 Semgrep 之间的一些异同,并真正展示它们的优势和劣势所在。将来,我们将深入研究查询和规则,并对两者进行深入比较。参考:goingbeyondgrep。
JAVA代码审计SAST工具使用与漏洞特征
道阻且长,行则将至。
03-04 996
本文来学习、总结下业界常见的 Java 语言代码审计工具的使用,同时通过检验工具的漏洞扫描结果学习下常见漏洞的代码特征,毕竟只有多看看漏洞所在的缺陷代码,才能避免实战中与漏洞“碰面”了却“互不相识”。
静态代码扫描工具
最新发布
crystalsina1013的专栏
04-19 907
eclipse安装
2 行代码开启 SAST,将代码漏洞定位到具体行数
GitLab 中国发行版
05-05 758
巧用SAST实现自动化代码安全扫描
Checkmarx与Sonarqube的比较
jimmyleeee的专栏
02-09 2425
Checkmarx是一款SAST,主要扫描安全问题和最佳实践的问题;SonarQube主要是扫描代码质量和最贱实践问题,最近也添加了一些安全规则的扫描的支持。下面是比较两款工具的主要参数的不同点,仅供参考。 类型 参数 Checkmarx Sonarqube 基本功能 支持语言 JavaScript,Java,PHP,Python,Swift,Go,Apex,Scala,.Net,C,C++,Android,Ruby,Perl,Groovy,PL/SQL, Asp.
为什么SAST和SCA在SDLC中很重要?
m0_50579386的博客
05-03 2267
SAST主要用于测试内部开发的代码,SCA主要用于管理导入的开源组件。 同时使用这两种方法,可以同时覆盖这两个领域可能存在的安全漏洞。
静态源代码安全检测工具比较.pdf
06-20
【标题】:“静态源代码安全检测工具比较” 【描述】:本文将对Fortify SCA、Checkmarx CxSuite和Armorize CodeSecure这三款静态源代码安全检测工具进行详细的对比,探讨它们的特点、优势和局限性,以便于理解和...
Sast9.4
03-16
Sast9.4很可能是某款SAST工具的版本号,专门用于扫描和分析Groovy语言编写的代码,以确保其在运行前的安全性。Groovy是一种动态类型、面向对象的脚本语言,广泛应用于Java平台,尤其是在构建自动化工具如Gradle以及...
js-x-ray:JavaScript和Node.js开源SAST扫描器。 用于检测最常见恶意模式的静态分析器
04-23
解释此工具的结果仍将需要您具有一组安全性概念。 :sparkling_heart: 我没有安全方面的特殊背景。 我只是对静态代码分析越来越感兴趣和充满热情。 但是,我很高兴得知自己的工作可以帮助防止将来可能发生的攻击...
HPFortify4.4代码扫描工具使用[整理].pdf
10-11
HP Fortify 4.4是一款强大的静态应用安全测试(SAST)工具,专门用于软件开发中的代码扫描,帮助开发者在编码阶段发现并修复潜在的安全漏洞。以下是对HP Fortify 4.4代码扫描工具使用的详细步骤和关键知识点的介绍:...
静态代码检查工具
生活需要深度
04-15 2700
国外商业工具: klocwork, fortify,Coverity, parasoft, TestBad, C++Test, Checkmarx CxEnterprise,PolySpace,PClint(有些不是产品名称,不过在业内都这么叫)。 国外开源工具: findbugs, checkstyle,sonar,PMD... 国内商业工具:360代码卫士,这个大多数人还没有听过,不过它已经是一款非常优秀成熟的产品,实际的项目分析中完全不输给国外顶尖的源代码静态分析工具。 KW工具可以与G
一款SAST工具需要支持多少种编译器呢?
manok的专栏
03-03 704
除了Java语言,C#语言之外,C、C++语言是编译器类型最多的编程语言,有几十种编译器,这些编译器方言为研发SAST工具带来了巨大的工作量,很多产品由于无法适配客户的编译器,导致无法检测。下面我们罗列一下国外和国内对C、C++最强的SAST工具,支持的编译器数量。当然Cobot的优势在于使用了代码补齐技术,在编译不通过情况下,一样可以完成检测,而很多工具,编译不通过不能进行检测,或检测结果不具有可信性。
Synopsys全系列工具简介
steven_yan_2014的专栏
02-03 2万+
Synopsys的产品线覆盖了整个IC设计流程,使客户从设计规范到芯片生产都能用到完备的最高水平设计工具。公司主要开发和支持基于两个主要平台的产品, Galaxy设计平台和Discovery验证平台。这些平台为客户实现先进的集成电路设计和验证提供了整套综合性的工具。 Synopsys解决方案包括:   · System Creation(系统生成)   · System Verificati
三款主流静态源代码安全检测工具比较
热门推荐
whatday的专栏
01-07 6万+
静态源代码安全检测工具比较 1. 概述 随着网络的飞速发展,各种网络应用不断成熟,各种开发技术层出不穷,上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时,安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站,如何保证网站的安全成为一个非常热门的话题。 根据IT研究与顾问咨询公司Gartner统计数据显示,75%的黑客攻击发生在应用层。而
代码静态扫描工具sonar介绍
liuhaiguang2012的博客
02-28 3万+
一、SonarQube整体介绍   SonarQube为静态代码检查工具,采用B/S架构,帮助检查代码缺陷,改善代码质量,提高开发速度,通过插件形式,可以支持Java、C、C++、JavaScripe等等二十几种编程语言的代码质量管理与检测。   通过客户端插件分析源代码,sonar客户端可以采用IDE插件、Sonar-Scanner插件、Ant插件和Maven插件方式,并通过各种不同的分析机制对...
静态分析安全测试(SAST)优缺点探析
wangpeng198688的专栏
02-26 2904
静态分析安全测试(SAST)是指不运行被测程序本身,仅通过分析或者检查源程序的语法、结构、过程、接口等来检查程序的正确性,那么采用静分析安全测试的方法有什么优缺点呢,且让小编给你说道说道。
DAST和SAST工具有哪些
06-08
DAST和SAST是两种不同类型的安全测试工具,用于检测应用程序中的安全漏洞。DAST(Dynamic Application Security Testing)工具主要通过模拟攻击者在应用程序运行时对其进行测试,以检测应用程序中的漏洞。SAST(Static Application Security Testing)工具则是通过分析应用程序的源代码或字节码来检测潜在的安全漏洞。 以下是一些常见的DAST和SAST工具: DAST工具: - OWASP ZAP - Burp Suite - Acunetix - Qualys Web Application Scanner - Nessus - AppScan SAST工具: - Checkmarx - Fortify - AppScan Source - Veracode Static Analysis - PMD - FindBugs

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值