本文比较了三款主流的静态源代码安全检测工具:Fortify SCA、Checkmarx CxSuite和Armorize CodeSecure,分别阐述了它们的特点、优缺点。Fortify SCA以其强大的语言支持领先,但价格昂贵;Checkmarx CxSuite以独特的查询语言自定义规则,但报告样式有待改进;Armorize CodeSecure则以快速的Web应用分析著称,但语言支持有限。此外,还介绍了开源免费的JAVA工具FindBugs和C语言工具splint,它们分别提供了丰富的检查规则和灵活的注释功能。
三款主流静态源代码安全检测工具比较
Fortify SCA(Source Code Analysis)
Fortify Software公司是一家总部位于美国硅谷,致力于提供应用软件安全开发工具和管理方案的厂商。Fortify为应用软件开发组织、安全审计人员和应用 安全管理人员提供工具并确立最佳的应用软件安全实践和策略,帮助他们在软件开发生命周期中花最少的时间和成本去识别和修复软件源代码中的安全隐患。 Fortify SCA是Fortify360产品套装中的一部分,它使用fortify公司特有的X-Tier Dataflow™ analysis技术去检测软件安全问题。
优点:目前全球最大静态源代码检测厂商、支持语言最多
缺点:价格昂贵、使用不方便
Checkmarx CxSuite
Checkmarx 是以色列的一家高科技软件公司。它的产品CheckmarxCxSuite专门设计为识别、跟踪和修复软件源代码上的技术和逻辑方面的安全风险。首创了以查询语言定位代码安全问题,其采用独特的词汇分析技术和CxQL专利查询技术来扫描和分析源代码中的安全漏洞和弱点。
优点:利用CxQL 查询语言自定义规则
缺点:输出报告不够美观、语言支持种类不全面
Armorize CodeSecure
阿码科技成立于2006年,总部设立于美国加州圣克拉拉市,研发中心位于台湾的南港软件工业园区。阿码科技提供全方位网络安全解决方案,捍卫企业免于受到黑客利用 Web 应用程序的漏洞所发动的攻击。阿码科技 CodeSecure可有效地协助企业与开发人员在软件开发过程及项目上线后找出 Web 应用程序风险,
最低0.47元/天 解锁文章
扫一扫
5532
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
