库博工具解决了不能编译就不能检测的痛点问题

于 2023-12-18 09:16:00 发布
阅读量379 收藏 11
点赞数 11
分类专栏: 供应链安全 软件安全 代码安全 文章标签: 供应链安全 安全 源代码审计 代码安全 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/manok/article/details/135054770
版权

       库博工具最大的问题是解决了很多客户遇到的使用很多静态分析工具无法编译就无法检测的问题。这给非研发部门和评测中心等使用带来了便利,非研发团队或测评机构往往拿不到整个被检测项目的所有源代码、或头文件、库文件等,尤其是C/C++项目,则编译不了,就意味着无法检测,例如Coverity、Klocwork等工具是需要被检测工程编译通过的。实际上SAST工具实现上有两种路线,一种编译,对编译过程产生的中间文件进行检测,例如Klocwork、Coverity就属于该类工具;另一种就是不需要编译,而是针对源代码本身进行检测,代表性的工具就是Checkmarx。其实不管是编译还是不编译,都是需要转化为AST、CFG等,在上面进行数据流、控制流等分析。

           库博是采用了代码补全技术,本身内置了很多编译器,例如:ARMCC、MinGW、C2000、tornado等,对于被检测工程,还是会自己匹配合适的编译器进行编译,编译通过则采用编译引擎方式进行检测。对于编译不通过即能检测。另外,编译不通过也能检测,也便于对大型项目进行分拆进行检测,SAST工具本身就是消耗内存的工具,如果在笔记本上安装,最多只有64G内存的笔记本电脑也能支持检测1000万行左右的项目,如果配置较低,对于大型项目,也可以按照不同文件夹进行检测。

      对于编译引擎算法还是不编译引擎算法的检测结果,如果规则算法实现上做得较好,则两者精度上没有差别。

(结束)

manok
关注
  • 11
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
COBOT和其他工具对比.pdf
06-20
这是2021年Cobot与其它工具的对比资料
代码静态分析与安全检测工具COBOT
最新发布
m0_71057114的博客
12-22 529
COBOT是北大软件开发的软件代码静态分析与安全检测工具。COBOT支持10类1000余种编码规则检查、支持CWE 14类110余种语义缺陷、支持8类90余种常见的安全漏洞分析;COBOT通过度量分析能够检测包括圈复杂度,函数扇入扇出,注释率等20余项度量指标;COBOT支持测试用例生成,以及覆盖率计算。通过被检代码可以自动生成部分测试用例,并自动计算语句、分支、路径覆盖率(自动给出不可达路径)。
国内外主流静态分析类工具汇总
热门推荐
manok的专栏
07-27 1万+
笔者从事该软件安全方面工作,在工作和学习中收集了国内外比较主流的静态分析类工具,供大家参考。大多是资料来自于网络整理,如有不足或欠缺,还请在评论中指出。我进行修正。也欢迎同行多多交流。 我使用0标注北大软件CoBOT,因为他是国内第一款基于主流SAST技术的静态分析工具,填补了国内在缺陷检测安全漏洞软件工具上的空白。值得称赞的工具。 0、北大软件CoBOT CoBOT(库博)是北京大学...
代码缺陷检测工具选型(1)
manok的专栏
04-21 3890
代码静态分析和缺陷检测方面,目前市场上主要有Coverity、Checkmarx、Klockwork和CoBOT。前三个为国外工具,最后一个是国内检测工具。其中Coverity和Klockwork都是美国厂商,Checkmarx是以色列厂商。这些工具有什么特点,各自有什么优势呢?笔者的企业正好在筹备引进代码缺陷检测工具,所以有机会就四款工具进行了对比验证。截止今天只使用两款工具Checkma...
静态代码分析工具
07-20
PVS-Studio静态代码分析工具作为一种工具检测代码中的缺陷和商业代码分析对比。越来越多的领域依赖计算机,代码的质量就成了关键。...PVS-Studio 能发现一些潜在问题,或者针对某些潜在问题给出警告。
quboscanner:纽库博
03-07
曲波扫描仪 纽库博
库博标准汽车公司选择Infor供应链管理方案
12-15
库博标准汽车公司选择Infor供应链管理方案以围绕物流采购为核心,以方便大家了解学习库博标准汽车公司选...该文档为库博标准汽车公司选择Infor供应链管理方案,是一份很不错的参考资料,具有较高参考价值,感兴趣的...
2023年java单选题库博学谷.doc
11-05
2023年java单选题库博学谷.doc
SAST——Checkmarx静态检测工具收集(2)
manok的专栏
03-27 1万+
Checkmarx是一家以色列高科技软件公司,是世界上著名的代码安全扫描软件Checkmarx CxSAST的生产商,拥有应用安全测试的业内前沿解决方案-CxSAST、CxOSA、CxIAST。分别对应的SAST、SCA和IAST三类应用安全测试类型工具。 Checkmarx CxSAST主要功能是查找安全漏洞、质量缺陷、逻辑问题和后门代码。是一个独特的代码分析解决方案,该工具可用于识别、跟踪和修复代码中技术上和逻辑上的缺陷,比如软件安全漏洞、质量缺陷问题和业务逻辑问题等。 Checkmarx使用
程序依赖图(Program Dependence Graph)理解
manok的专栏
05-27 1万+
程序依赖图(Program Dependence Graph)是程序的一种图形表示,它是带有标记的有向多重图。系统程序依赖图是软件程序间控制依赖关系和数据依赖关系的图形表示。面向方面的程序是基于面向方面的思想,使用相关的框架或语言工具,实现系统中横切关注点的清晰模块化的程序。系统依赖图是分析和理解程序的基础工具之一,其在面向对象的程序上的研究渐趋成熟,而在面向方面的程序上的研究才刚刚开始。 处理...
GB/T 34944中路径遍历漏洞分析(之一)
manok的专栏
12-12 9575
代码审计依据的国家标准GB/T 34944 、GB/T 34943、GB/T 34946。 而仅仅依据这三个标准还不够,1是仅仅覆盖了C/C++、Java和C#语言;2是安全漏洞类型仅仅有43个类型,也是不够的;3另外,需要检测工具落地,结合人工复核技术,真正落实代码审计中,对误报进行分析,对于漏报漏洞可能性进行分析。
组件安全漏洞检测主流工具对比
manok的专栏
12-25 8877
下面是根据笔者从事软件代码安全检测工作的经验以及对开组件、第三库安全漏洞检测工具的市场调研所获得的资料,如有错误或不妥之处,还请各位指正。如果表格中有一些未知信息你了解,请给帮我补充。让我们更多的了解市场上的主流工具。 目前这些工具在国内都有销售,其中Blackduck很多人都了解,前几年被Synopsys公司所收购,只能在国内销售不带库的版本。要把安全漏洞对应到...
国内代码安全漏洞检测工具现状浅析
manok的专栏
06-08 7403
在静态代码检测工具方面,国内很多公司在研发产品,包括北大软件CoBOT、奇虎测腾的代码卫士、360企业代码卫士、清华大学软件学院Tsmart代码分析工具集、腾讯TscanCode开静态扫描工具,端玛企业级静态代码扫描分析平台DMSCA、找八哥代码安全检测系统等。 知名度比较高的可能是360的代码卫士,借助其公司品牌和免费杀毒软件等宣传,行业内知名度较高,但是工...
不管SDLC还是Devops,请把好安全质量门
manok的专栏
03-13 7293
微软自2004年就采用SDL(Security Development Lifecycle),即安全开发生命周期。后面很多安全企业提出S-SDLC(Secure Software Development Lifecycle)。这个概念也是被安全行业的公益组织OWASP所支持。安全中的SDLC就是指将原来集中在软件开发生命周期后期进行的工作,放到软件开发生命周期各个阶段去,在每个阶段做...
Spring boot中的缺陷和安全漏洞浅析
manok的专栏
05-18 6640
Spring Boot是由Pivotal团队提供的全新的开框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。 现在很多研发团队开始转向采用该框架,但...
试用北大CoBOT代码缺陷工具在Linux系统下安装
manok的专栏
05-01 5676
本篇先介绍一下Linux下图形用户界面形式安装,北大CoBOT目前支持各种Linux下安装,包括CentOS、Ubuntu、Redhat等,也支持国内操作系统中标麒麟和银河麒麟的安装。 安装包放在指定位置,cd进入指定目录 解压CoBOT-3.6.2.1-Server-linux.zip文件到当前目录 unzip CoBOT-3.6.2.1-Server-linux.zip –d ./ ...
认识DAST、SAST、RAST和IAST
manok的专栏
04-23 5651
为了发现软件的安全漏洞和缺陷,确保应用系统是安全可靠的,就需要针对Web系统做应用检测,识别Web应用程序中架构的薄弱环节,以免轻易的受到恶意攻击者的攻击。 主要市场上主要的检测技术主要是DAST、SAST、RAST和IAST,每种技术都有一定的优缺点。我们注意了解一下。 DAST是Dynamic Application Security Testing的首字母缩写,是动态应用程序安全测试技术...
自动化检测工具助力GJB 8114-2013 C/C++语言编程安全子集标准落地应用
manok的专栏
03-13 5410
2013年7月10日,中国人民解放军总装备部发布了中华人民共和国国家军用标准GJB 8114,全称为GJB 8114-2013《C/C++语言编程安全子集》,提出软件编程标准,以提高国家军用软件的安全性,并作为静态规则检查的依据。GJB 8114的提出于2005年发布的GJB 5369,全称为GJB 5359-2005《航天型号软件C语言安全子集》是航天领域嵌入式C语言的编程标准...
latex高亮不换行
08-01
在LaTeX中,如果你想要实现高亮效果并且换行,可以...[3]另外,你也可以使用\usepackage{soul}来实现字体高亮效果,但需要注意的是,\hl{ code }中不能包含中文。[2]这样,你就可以在LaTeX中实现高亮并换行的效果了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

manok

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值