CodePecker源代码缺陷分析系统V4.docx

CodePecker 安 全 解 决 方 案 源代码缺陷分析 CodePecker 源代码缺陷分析系统V4.0 白皮书 北京酷德啄木鸟信息技术有限公司 2020-04 目录 1.概述 1 1.1.代码审计是什么 1 1.2.代码审计的必要性 1 1.3.CodePecker源代码缺陷分析系统V4.0 2 2.主要功能 2.1.架构图 5 2.2.检测能力 5 2.3.检测项目管理 6 2.4.图形化展示和缺陷定位追踪 10 2.5.缺陷审计 11 2.6. 自定义缺陷规则集 12 2.7.函数白名单 12 2.8.开源组件检测 12 2.9.统计分析 13 2.10.检测报告 15 2.11.缺陷知识库 16 2.12.支持DevSecOps落地实施 18 3.使用场景 20 3.1.上线前代码检测 20 3.2.DevSecOps落地 20 3.3.多工具集成整合 20 4.产品形态及参数 21 5.资质 21 6.部分客户 22 CodePecker源代码缺陷分析系统V4 .0 白 皮 书 ◎2020 CodePecker —1— 36% 36% 1. 概述 1.1.代码审计是什么 代码审计是一种发现程序中存在的安全缺陷和程序错误 (BUG) 的技术手段。 代码审计是通过对软件的源代码采用静态的语法分析、语义分析、控制流分析、数据流 分析等技术来发现其中存在的潜在缺陷。 相对于传统的黑盒程序测试手段，源代码静态分析是一种白盒的软件检测手段。 基于黑盒的测试无法了解到软件内部的运行逻辑和具体实现，而白盒检测可以看到软件 内部实现的所有细节，因此基于源代码的检测能够更全面、更彻底的发现软件中存在的问题。 1.2.代码审计的必要性 1.黑客攻击的主要目标一软件本身的安全漏洞 根据美国国家标准与技术研究院 (NIST) 统计，如今的黑客攻击超过90%主要是利用软 件本身的安全漏洞，这些漏洞是由不良的软件架构和不安全的编码产生的。 92% of reported vulnerabilities are in applications, not networks OEncryption Module □ Network Protocol Stack Other Communication Protocol □ Hardware ■Operating System □Non-Server Applications □Server Applications Source: NIST 2. 降低开发及信息安全成本 通过代码审计培养安全开发意识，提高安全开发水平。 报告已存放在星球里，微信扫描下方二维码加入星球 星球会每天更新，目前已含有1万+份全行业报告。 星球内所有报告和资源可随意下载，不受限制! 星球介绍： 1. 【报告合集】:每天更新必威体育精装版的市场调研和白皮书 等报告 2. 【每天进步一点点】:每天分享一个商业思考 3.【 一起成为有钱人(案例分享)】:不定期分享市 场新风向的实操成功案例，希望借此能给你带来一些 思考和借鉴。 4. 【书籍】:每天分享三本电子书资源 5. 【数据分析】:不定期分享市场数据供你参考 6. 【影视剧资源】:不定期更新热门的电视剧和电影 资源 CodePecker源代码缺陷分析系统V4.0 白 皮 书 ◎2020 CodePecker —2— 做到代码边开发边审计，提早发掘漏洞。根据 Gartner 统计，在软件代码实现阶段发现 并纠正安全问题所花费的成本，比软件交付后通过上线安全评估发现问题再进行整改的 成本要低50~1000 倍。越早发现源代码安全问题，其修复成本越低。 人工代码审查耗时耗力，效率低下，工具检测加人工审计可显著提高效率。 对于项目交付验收，除了传统的功能和性能验收，可以增加以源代码审计为主的安全性 验收，提高系统上线后的安全水平。 1.3.CodePecker 源代码缺陷分析系统V4.0 CodePecker 源代码缺陷分析系统V4.0 是北京酷德啄木鸟信息技术有限公司采用业界领先 的源代码静态分析技术开发的一款针对源代码缺陷进行静态分析检测的产品，是国内第一款 成熟的源代码缺陷分析产品。 CodePecker 由酷德啄木鸟公司自主研发，具有完全自主知识产 权。它在对目标软件代码进行语法、语义分析的技术上，辅以数据流分析、控制流分析和特 有的缺陷分析算法等高级静态分析手段，能够高效的检测出