隨著互聯網的飛速發(fā)展，各種網絡應用層出不窮，網絡應用已經成為人們生活必不可少的一部分，在大家享受網絡應用給人們帶來便利的同時，安全問題頻繁發(fā)生，信息泄露、業(yè)務中斷、敲詐勒索等安全事件屢見不鮮，如何保證互聯網的安全成為了一個重要的話題。

近年來，大部分安全問題來自于應用層安全，應用層的安全問題主要由軟件源代碼中的安全缺陷所導致。有關源代碼安全的研究越來越多，源代碼安全成為了解決信息安全問題的一個重要方向，也是信息安全中的一個新興領域。

[[195133]]

在開發(fā)階段引入代碼檢測解決安全問題的思路開始被很多企業(yè)所認可。源代碼檢測屬于程序分析領域，需要具有相關領域的技術儲備，很多傳統(tǒng)的安全廠商都沒有相關的商業(yè)化技術產品。網上有很多開源的審計工具，但檢測能力、檢測精度較差，本文結合多年對源代碼檢測產品的了解，介紹三款較為成熟的商業(yè)化源代碼檢測產品。

1、 Fortify SCA

Fortify Software公司是一家總部位于美國硅谷，致力于提供應用軟件安全開發(fā)工具和管理方案的廠商。Fortify為應用軟件開發(fā)組織、安全審計人員和應用安全管理人員提供工具并確立***的應用軟件安全實踐和策略，幫助他們在軟件開發(fā)生命周期中花最少的時間和成本去識別和修復軟件源代碼中的安全隱患。

[[195134]]

Fortify SCA是一個靜態(tài)的、白盒的軟件源代碼安全測試工具，它通過內置的五大主要分析引擎：數據流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態(tài)的分析，分析的過程中與它特有的軟件安全漏洞規(guī)則集進行全面地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并給予整理報告。掃描的結果中不但包括詳細的安全漏洞的信息，還會有相關的安全知識的說明，以及修復意見的提供。

Fortify SCA支持Java,JSP,ASP.NET,C#,VB.NET,C,C++,COBOL,ColdFusion,

Transact-SQL,PL/SQL,JavaScript/Ajax,Classic,ASP,VBScript,VB6,PHPjava，jsp多種語言，600多種風險類型，支持CWE/OWASP國際主流標準，交付形態(tài)為純軟件。

2、Checkmarx CxSuite

Checkmarx 是以色列的一家高科技軟件公司。它的產品CheckmarxCxSuite專門設計為識別、跟蹤和修復軟件源代碼上的技術和邏輯方面的安全風險。首創(chuàng)了以查詢語言定位代碼安全問題，其采用獨特的詞匯分析技術和CxQL專利查詢技術來掃描和分析源代碼中的安全漏洞和弱點。

[[195135]]

Checkmarx CxSuite的掃描結果可以以靜態(tài)報表形式展示，也可以通過可以對軟件安全漏洞和質量缺陷在代碼的運行時的數據傳遞和調用圖跟蹤的代碼缺陷的全過程，同時還可以提供對安全漏洞和質量缺陷進行修復提供指導建議。也可以對結果進行審計，從而消除誤報。

Checkmarx CxSuite支持JAVA、ASP.NET(C#、VB.NET)、JavaScript、Jscript、C/C++、APEX等語言，500多種風險類型，支持CWE/OWASP國際主流標準，交付形態(tài)為純軟件。

3、360代碼衛(wèi)士

360代碼衛(wèi)士是360企業(yè)安全集團基于多年源代碼安全實踐經驗推出的新一代源代碼安全檢測解決方案，包括源代碼缺陷檢測、合規(guī)檢測、溯源檢測三大檢測功能，同時360代碼衛(wèi)士還可實現軟件安全開發(fā)生命周期管理，與企業(yè)已有代碼版本管理系統(tǒng)、缺陷管理系統(tǒng)、構建工具等無縫對接，將源代碼檢測融入企業(yè)開發(fā)流程，實現軟件源代碼安全目標管理、自動化檢測、差距分析、Bug修復追蹤等功能，幫助企業(yè)以最小代價建立代碼安全保障體系并落地實施，構筑信息系統(tǒng)的“內建安全”。

[[195136]]

代碼衛(wèi)士目前支持Windows、Linux、Android、Apple iOS、IBM AIX等平臺上的代碼安全檢測，支持的編程語言涵蓋C/C++/C#/Objective-C/Java/JSP/JavaScript/PHP/Python/Cobol等主流語言。在軟件代碼缺陷檢測方面，代碼衛(wèi)士支持24大類，700多個小類代碼安全缺陷的檢測，兼容國際CWE、ISO/IEC 24772、OWASP Top 10、SANS Top 25等標準和***實踐;在軟件編碼合規(guī)檢測方面，代碼衛(wèi)士可支持US CERT C/C++/Java安全編碼規(guī)范的檢測，并可根據用戶需求進行靈活定制;在開源代碼溯源檢測方面，代碼衛(wèi)士可支持80000多個開源代碼模塊識別，28000多個開源代碼漏洞的檢測。

4、對比分析

三大檢測工具是目前為止源代碼檢測領域的領軍產品，對比情況如下：

這三款靜態(tài)源代碼掃描工具都有其各自特色，SCA支持的語言多達20多種，基本上涵蓋了絕大多數的應用，具有相當廣泛的適用性，但同時也使得其價格非常昂貴;CxSuite支持的語言包括常見Web應用的語言，適用范圍基本上包括了大部分的應用，其使用***的語言來自定義規(guī)則非常有特色，價格較之SCA有一定的優(yōu)勢;360代碼衛(wèi)士是國內首款源代碼審計商業(yè)化產品，檢測能力多元化，可低成本融入開發(fā)流程，更適合企業(yè)用戶的需求，性價比很高。值得一提的是，隨著國內信息安全產品“自主、可控”原則的推廣，更多的企業(yè)會傾向于本地服務更好的國內源代碼審計產品。