国内源代码安全漏洞检测工具现状浅析

在静态源代码检测工具方面,国内很多公司在研发产品,包括北大软件CoBOT、奇虎测腾的代码卫士、360企业代码卫士、清华大学软件学院Tsmart代码分析工具集、腾讯TscanCode开源静态扫描工具,端玛企业级静态源代码扫描分析平台DMSCA、找八哥源代码安全检测系统等。

知名度比较高的可能是360的代码卫士,借助其公司品牌和免费杀毒软件等宣传,行业内知名度较高,但是工具本身可能并不如其品牌。目前产品比较成熟,推广较多的是北大软件的CoBOT,借助北京大学平台,在军方、政府、科院院所推广相对较多。奇虎测腾是奇安信旗下公司,代码卫士与360企业代码卫士名称很接近,不知道两个公司之间的关系。360开拓市场主要方法是通过分析一些知名企业、框架的代码,找到漏洞,进行宣传,同时与开源中国等网站进行合作,提升市场知名度。清华大学的Tsmart目前正在研发之中,可能主要是做一些国家课题为主,目前还在融资之中,清华大学下属企业中可能还没有企业认识到这方面的重要性,社会资本由于对该行业不了解,加上又是一个很细分的市场,可能也不会引入资金。腾讯对软件代码分析和成分分析认识比较早,在软件成分方面推出了哈勃分析系统,能够对多种文件类型进行在线成分分析,免费试用提供的信息相对比较少,不知道收费版本能够分析到何种程度。代码成分分析工具,未来在软件领域也应该是一个蓝海,据说,北大CoBOT团队的代码成分分析系统也即将发布。国内,能够分析二进制程序的工具几乎是空白,腾讯哈勃能够分析出PE代码中成分信息,应该是无法分析出缺陷和安全漏洞,目前北大CoBOT在二进制缺陷和安全漏洞分析上,应该正在突破,有望在2020年切入民用市场。端玛DMSCA产品在官网能看到的信息不多,提供的有价值信息少,支持开发语言、标准也还可以,不知道具体如何。找八哥是思客云公司的产品,通过介绍来看,应该是采用C#等windows平台上的开发语言开发的BS架构工具,支持的检测语言比较多,支持安全漏洞比较多,可能不是采用的主流检测引擎技术,检测效率上比较慢。

随着国际环境的日益复杂,科技战影响到今后几年甚至更远的国家发展战略,国产软件,尤其是一些需要更多底层技术的软件工具、平台,也是需要大力发展的一个方面。针对源代码的缺陷检测、安全检测、开源代码成分分析、二进制文件木马和漏洞分析等市场看好,为了该领域的竞争越来越厉害,国外检测工具市场份额将减少,有可能逐渐退出国内市场。

(完)
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页