隨著互聯(lián)網(wǎng)的飛速發(fā)展，各種網(wǎng)絡(luò)應(yīng)用層出不窮，網(wǎng)絡(luò)應(yīng)用已經(jīng)成為人們生活必不可少的一部分，在大家享受網(wǎng)絡(luò)應(yīng)用給人們帶來便利的同時，安全問題頻繁發(fā)生，信息泄露、業(yè)務(wù)中斷、敲詐勒索等安全事件屢見不鮮，如何保證互聯(lián)網(wǎng)的安全成為了一個重要的話題。

近年來，大部分安全問題來自于應(yīng)用層安全，應(yīng)用層的安全問題主要由軟件源代碼中的安全缺陷所導致。有關(guān)源代碼安全的研究越來越多，源代碼安全成為了解決信息安全問題的一個重要方向，也是信息安全中的一個新興領(lǐng)域。

在開發(fā)階段引入代碼檢測解決安全問題的思路開始被很多企業(yè)所認可。源代碼檢測屬于程序分析領(lǐng)域，需要具有相關(guān)領(lǐng)域的技術(shù)儲備，很多傳統(tǒng)的安全廠商都沒有相關(guān)的商業(yè)化技術(shù)產(chǎn)品。網(wǎng)上有很多開源的審計工具，但檢測能力、檢測精度較差，本文結(jié)合多年對源代碼檢測產(chǎn)品的了解，介紹三款較為成熟的商業(yè)化源代碼檢測產(chǎn)品。

1、Fortify SCA

Fortify Software公司是一家總部位于美國硅谷，致力于提供應(yīng)用軟件安全開發(fā)工具和管理方案的廠商。Fortify為應(yīng)用軟件開發(fā)組織、安全審計人員和應(yīng)用安全管理人員提供工具并確立***的應(yīng)用軟件安全實踐和策略，幫助他們在軟件開發(fā)生命周期中花最少的時間和成本去識別和修復軟件源代碼中的安全隱患。

Fortify SCA是一個靜態(tài)的、白盒的軟件源代碼安全測試工具，它通過內(nèi)置的五大主要分析引擎：數(shù)據(jù)流、語義、結(jié)構(gòu)、控制流、配置流等對應(yīng)用軟件的源代碼進行靜態(tài)的分析，分析的過程中與它特有的軟件安全漏洞規(guī)則集進行全面地匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并給予整理報告。掃描的結(jié)果中不但包括詳細的安全漏洞的信息，還會有相關(guān)的安全知識的說明，以及修復意見的提供。

Fortify SCA支持Java,JSP,ASP.NET,C#,VB.NET,C,C++,COBOL,ColdFusion,

Transact-SQL,PL/SQL,JavaScript/Ajax,Classic,ASP,VBScript,VB6,PHPjava，jsp多種語言，600多種風險類型，支持CWE/OWASP國際主流標準，交付形態(tài)為純軟件。

2、Checkmarx CxSuite

Checkmarx 是以色列的一家高科技軟件公司。它的產(chǎn)品CheckmarxCxSuite專門設(shè)計為識別、跟蹤和修復軟件源代碼上的技術(shù)和邏輯方面的安全風險。首創(chuàng)了以查詢語言定位代碼安全問題，其采用獨特的詞匯分析技術(shù)和CxQL專利查詢技術(shù)來掃描和分析源代碼中的安全漏洞和弱點。

Checkmarx CxSuite的掃描結(jié)果可以以靜態(tài)報表形式展示，也可以通過可以對軟件安全漏洞和質(zhì)量缺陷在代碼的運行時的數(shù)據(jù)傳遞和調(diào)用圖跟蹤的代碼缺陷的全過程，同時還可以提供對安全漏洞和質(zhì)量缺陷進行修復提供指導建議。也可以對結(jié)果進行審計，從而消除誤報。

Checkmarx CxSuite支持JAVA、ASP.NET(C#、VB.NET)、JavaScript、Jscript、C/C++、APEX等語言，500多種風險類型，支持CWE/OWASP國際主流標準，交付形態(tài)為純軟件。

3、360代碼衛(wèi)士

360代碼衛(wèi)士是360企業(yè)安全集團基于多年源代碼安全實踐經(jīng)驗推出的新一代源代碼安全檢測解決方案，包括源代碼缺陷檢測、合規(guī)檢測、溯源檢測三大檢測功能，同時360代碼衛(wèi)士還可實現(xiàn)軟件安全開發(fā)生命周期管理，與企業(yè)已有代碼版本管理系統(tǒng)、缺陷管理系統(tǒng)、構(gòu)建工具等無縫對接，將源代碼檢測融入企業(yè)開發(fā)流程，實現(xiàn)軟件源代碼安全目標管理、自動化檢測、差距分析、Bug修復追蹤等功能，幫助企業(yè)以最小代價建立代碼安全保障體系并落地實施，構(gòu)筑信息系統(tǒng)的“內(nèi)建安全”。

代碼衛(wèi)士目前支持Windows、Linux、Android、Apple iOS、IBM AIX等平臺上的代碼安全檢測，支持的編程語言涵蓋

C/C++/C#/Objective-C/Java/JSP/JavaScript/PHP/Python/Cobol等主流語言。在軟件代碼缺陷檢測方面，代碼衛(wèi)士支持24大類，700多個小類代碼安全缺陷的檢測，兼容國際CWE、ISO/IEC 24772、OWASP Top 10、SANS Top 25等標準和***實踐;在軟件編碼合規(guī)檢測方面，代碼衛(wèi)士可支持US CERT C/C++/Java安全編碼規(guī)范的檢測，并可根據(jù)用戶需求進行靈活定制;在開源代碼溯源檢測方面，代碼衛(wèi)士可支持80000多個開源代碼模塊識別，28000多個開源代碼漏洞的檢測。

4、對比分析

三大檢測工具是目前為止源代碼檢測領(lǐng)域的領(lǐng)軍產(chǎn)品，對比情況如下：

這三款靜態(tài)源代碼掃描工具都有其各自特色，SCA支持的語言多達20多種，基本上涵蓋了絕大多數(shù)的應(yīng)用，具有相當廣泛的適用性，但同時也使得其價格非常昂貴;CxSuite支持的語言包括常見Web應(yīng)用的語言，適用范圍基本上包括了大部分的應(yīng)用，其使用***的語言來自定義規(guī)則非常有特色，價格較之SCA有一定的優(yōu)勢;360代碼衛(wèi)士是國內(nèi)首款源代碼審計商業(yè)化產(chǎn)品，檢測能力多元化，可低成本融入開發(fā)流程，更適合企業(yè)用戶的需求，性價比很高。值得一提的是，隨著國內(nèi)信息安全產(chǎn)品“自主、可控”原則的推廣，更多的企業(yè)會傾向于本地服務(wù)更好的國內(nèi)源代碼審計產(chǎn)品。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文