产品功能

▶ 自适应扫描：多种技术组合，快速识别关键应用程序的严重风险

▶ 定制化扫描：提供定制化的扫描选项，以适应不同的开发环境和安全要求，支持从源代码仓库直接拉取代码进行扫描

▶ 实时扫描和更新扫描：既可以在代码编写时进行实时扫描，提供即时的安全反馈；也可以仅对更改的代码文件进行扫描，避免重复扫描整个应用程序

▶ 误报控制：使用启发式分析和优化规则集、并通过上下文感知等多种技术减少误报

▶ 自定义规则：提供面向对象语言的自定义分析能力，允许用户自行扩展扫描引擎功能

▶ 精确定位：帮助开发者精确定位问题代码行，进而精确修复安全漏洞

▶ 优先级排序：对识别的问题进行优先级排序，帮助开发者优先处理关键安全问题

▶ 支持多种安全标准：支持OWASP Top 10、SANS 25、CWE、PCI DSS、GB/T 34943/34944/34946以及OWASP API等多种安全指南和标准规范

主要技术指标

● 支持语言：支持超过25种编程语言，45种开发框架

● 扫描速度：每小时可扫描20万行代码

● 集成开发环境：支持与IDE和开发工具集成，扫描本地代码或者直接扫描源代码仓库

● 部署方式：支持本地部署和云上Docker部署

● 用户界面：中文界面，简单易用

应用场景

● 企业级软件开发：研发团队阶段利用Checode SAST识别和修复安全漏洞。

● 软件安全管理： 软件质量和安全管理团队利用Checode SAST定期对产品代码进行安全检查。

● 软件项目测评：软件测评机构利用Checode SAST对即将交付的软件项目进行质量检测和漏洞安全评估，实施代码审查，实施合规性检查等。

● 软件项目验收：用户利用Checode SAST对交付的产品代码进行质量检查和产品验收。

工作原理

Checode SAST基于自动化的源代码分析技术，以识别和预防潜在的安全漏洞。它具有以下关键技术：

● 静态分析：通过分析源代码，寻找可能导致安全漏洞的模式和构造。

● 规则和查询：基于常见的安全漏洞和弱点预定义的规则如OWASP Top 10，内置引擎根据规则找出与已知的漏洞模式相匹配的代码。

● 模式识别：工具能识别代码中存在安全风险的模式，例如不安全的API调用、缓冲区溢出、SQL注入漏洞、跨站脚本（XSS）等。

● 降低误报：使用启发式分析和优化规则集，减少误报。

● AI技术应用：利用人工智能（AI）技术改进分析与查询过程，提高结果的准确性和相关性。

工作原理

       Checode SAST基于自动化的源代码分析技术，以识别和预防潜在的安全漏洞。它具有以下关键技术：

● 静态分析：通过分析源代码，寻找可能导致安全漏洞的模式和构造。 规则和查询：使用一套预定义的规则和查询，这些规则基于常见的安全漏洞和弱点，如OWASP Top 10。内置引擎根据规则会检查出与已知的漏洞模式相匹配的代码。 模式识别：工具会识别代码中的模式，这些模式可能指示存在安全风险，例如不安全的API调用、缓冲区溢出、SQL注入漏洞、跨站脚本（XSS）等。 降低误报：通过使用先进的算法和启发式分析，从而减少误报的数量。 自适应漏洞扫描：能够快速扫描以找到最相关的结果，同时对关键应用程序进行深度分析，以识别最大风险的漏洞。 AI技术应用：利用人工智能（AI）技术改进查询构建，提高结果的准确性和相关性。