检测源代码安全漏洞
SecurityPrism®从开发初期开始确保应用安全为目的的安全漏洞检测解决方案。帮助开发者和QA部门有效避免容易受黑客侵害的程序模式,以免遭受黑客攻击。企业可以预先对应应用安全问题以降低业务风险。
概要
SecurityPrism®基于内置安全漏洞检测规则自动检测源代码。即使没有配置编译环境或执行程序,也能准确查找违背安全漏洞检测规则的源代码线。QA部门在中央服务器上可以统一检测源代码安全漏洞,开发者则在自己的PC上与中央服务器联系可以自行检测源代码安全漏洞。
竞争优势
安全漏洞检测自主品牌专利 | SecurityPrism® 产品包括着软件安全漏洞检测规则描述语言(Rule Description Language For Software Vulnerability Detection)以及基于集群的程序分析方法及其设备(Program Analysis Method Based on Cluster and Apparatus)自主专利。 |
使用方便 | SecurityPrism®不需要诸如编译设置等复杂的环境配置,只要有源文件可以进行检测工作。 |
无缝集成 | SecurityPrism® 采用的技术平台与GTONE的其他应用治理解决方案相同。这意味着可以在单一环境下多维度利用静态分析结果(影响分析、源代码质量及安全漏洞)。 |
CWE合规 | SecurityPrism®所搭载的高级静态分析引擎能够检测出CWE评出的150类以上源代码安全漏洞。 GTONE SecurityPrism®是一款已获取CWE兼容性认证的产品,并可以广泛应用到CWE合规活动的静态分析工具。 CWE(一般弱点列举)是一个通用应用程序安全脆弱点列表。要查看 SecurityPrism® 所支持的CWE安全漏洞覆盖范围及CWE ID对照关系,请点击此处。 |
核心功能
安全漏洞模式 | 提供基于CWE、OWASP等国际标准的安全漏洞模式DB。 |
编程安全手册 | 提供安全编程范例和漏洞的形成实例,使得开发者可以从中获取有价值的信息。诸如该编程错在哪里?编程有错误,该怎样修改?等信息。 |
提取源代码安全漏洞 | 提取违背安全漏洞遵循规则的源代码,以及及时向下钻取到相应源代码线上。 |
自动更新规则 | 通过在中央服务器上的规则管理功能,支持面向开发者的规则自动更新功能。 |
规则定义语言 | 利用高级脚本语言可以创建新的检测规则。 |
* 提供Java/JSP(Eclipse plug-in)、C等各种程序设计语言。
期待效果
降低安全风险 | 据Gartner报告(The Ratio of Hacking and Security Incident),客户攻击由网络层转向应用层,75%的黑客攻击源于应用软件,并非是网络或服务器。 美国防研究资料显示,每一千行源代码中出现1行有安全漏洞的源代码。 由安全侵害所发生的处理费用超出想象,因此从开发初期开始要做好准备对应安全漏洞问题才能节减不必要的巨费用。 |
节减成本 | 手工检测源代码需要有经验丰富的安全专家的支持并需要很多时间。 SecurityPrism®通过安全编程范例手册和自动检测源代码安全漏洞功能可以节减时间和成本。 |
Customers
- more...