静态代码分析工具

本文比较了三款主流的静态源代码安全检测工具:Fortify SCA、Checkmarx CxSuite和Armorize CodeSecure,分别阐述了它们的特点、优缺点。Fortify SCA以其强大的语言支持领先,但价格昂贵;Checkmarx CxSuite以独特的查询语言自定义规则,但报告样式有待改进;Armorize CodeSecure则以快速的Web应用分析著称,但语言支持有限。此外,还介绍了开源免费的JAVA工具FindBugs和C语言工具splint,它们分别提供了丰富的检查规则和灵活的注释功能。
摘要由CSDN通过智能技术生成

三款主流静态源代码安全检测工具比较

Fortify SCA(Source Code Analysis)

Fortify Software公司是一家总部位于美国硅谷,致力于提供应用软件安全开发工具和管理方案的厂商。Fortify为应用软件开发组织、安全审计人员和应用 安全管理人员提供工具并确立最佳的应用软件安全实践和策略,帮助他们在软件开发生命周期中花最少的时间和成本去识别和修复软件源代码中的安全隐患。 Fortify SCA是Fortify360产品套装中的一部分,它使用fortify公司特有的X-Tier Dataflow™ analysis技术去检测软件安全问题。

优点:目前全球最大静态源代码检测厂商、支持语言最多

缺点:价格昂贵、使用不方便

Checkmarx CxSuite

Checkmarx 是以色列的一家高科技软件公司。它的产品CheckmarxCxSuite专门设计为识别、跟踪和修复软件源代码上的技术和逻辑方面的安全风险。首创了以查询语言定位代码安全问题,其采用独特的词汇分析技术和CxQL专利查询技术来扫描和分析源代码中的安全漏洞和弱点。

优点:利用CxQL 查询语言自定义规则

缺点:输出报告不够美观、语言支持种类不全面

Armorize CodeSecure

阿码科技成立于2006年,总部设立于美国加州圣克拉拉市,研发中心位于台湾的南港软件工业园区。阿码科技提供全方位网络安全解决方案,捍卫企业免于受到黑客利用 Web 应用程序的漏洞所发动的攻击。阿码科技 CodeSecure可有效地协助企业与开发人员在软件开发过程及项目上线后找出 Web 应用程序风险,

  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值