SAST解决了什么问题?
使用SAST进行检测发生在软件开发生命周期 ( SDLC ) 的早期,因为它不需要运行应用程序并且可以在不执行代码的情况下发挥作用。它可以帮助开发人员在开发的初始阶段识别漏洞,而不会破坏已有的构建或将漏洞遗留到应用程序的最终版本。这可以防止在上线前的关键时刻发现安全相关的问题。
SAST工具的一个关键优势是面对所有源码。此外,它们比人工执行的手动安全代码审查要快得多。SAST工具可以识别关键漏洞,例如缓冲区溢出、SQL注入、跨站点脚本等。因此,将静态分析集成到SDLC中可以有效提高开发代码的整体质量。
开发人员可以根据需要使用SAST工具定制报告,有助于组织根据报告中的问题进行及时修复,提高应用程序的安全性。
中科天齐的WuKong(悟空)产品是一款国产信创静态代码安全测试工具,采用自主专利技术的程序分析引擎,多种创新性的静态分析技术,结合深度学习和人工智能等多种方法,准确发掘深层次安全漏洞;通过先进的程序切片技术提高测试效率;结合分布式系统运行时日志信息指导安全测试,有效检测到云计算分布式系统中大量未知错误。
支持C、C++、C#、JAVA、Python、PHP、JSP、JavaScript、HTML、Go、XML 等主流程序开发语言。
可以检测运行时缺陷、安全漏洞及编码标准规范。支持国家推荐标准 GB/T 34943、 GB/T 34944、GB/T 34946、国军标 GJB 8114、行业标准 SJT 11683、CWE Top25、OWASP Top10等,可根据需求进行定制化处理。
兼容麒麟、鲲鹏等多种国产化环境,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。
Wukong可直接整合到客户的开发流程中,与客户的代码管理仓库(Git、SVN 等),缺陷管理系统(Jira、禅道、Bugzilla 等)进行对接,在不增加研发成本的前提下帮助开发人员减少交付不安全代码的风险。