端瑪企業級靜态源代碼掃描分析服務平台(英文簡稱:DMSCA)是一個獨特的源代碼安全漏洞、品質缺陷和邏輯缺陷掃描分析服務平台。該平台可用于識别、跟蹤和修複在源代碼中的技術和邏輯上的缺陷,讓軟體開發團隊及測試團隊快速、準确定位源代碼中的安全漏洞、品質和業務邏輯缺陷等問題,并依據提供的專業中肯的修複建議,快速修複。提高軟體産品的可靠性、安全性。同時相容并達到國際、國内相關行業的合規要求。
DMSCA是端瑪科技在多年靜态分析技術的積累及研發努力的基礎上,聯合多所國内及國際知名大學、專家共同分析全球靜态分析技術的優缺點後、結合目前開發語言的技術現狀、源代碼缺陷的發展勢态和市場後,研發出的新一代源代碼企業級分析方案,旨在從根源上識别、跟蹤和修複源代碼技術和邏輯上的缺陷。該方案克服了傳統靜态分析工具誤報率(False Positive)高和漏報(False Negative)的缺陷。打斷了國外産品在高端靜态分析産品方面的壟斷,形成中國自主可控的高端源代碼安全和品質掃描産品,并支援中國自己的源代碼檢測方面的國家标準(GB/T34944-2017 Java、GB/T34943-2017 C/C++、GB/T34946-2017 C#),緻力于為在中國的企業提供更直接,更個性化的平台定制和本地化服務。
DMSCA支援主流程式設計語言安全漏洞及品質缺陷掃描和分析,支援客戶化平台界面、報告、規則自定義,以滿足客戶特定安全政策、安全标準和研發營運環境內建的需要。産品從面世,就獲得了中國國内衆多客戶的青睐,這些客戶包括但不限于銀行、線上支付、保險、電力、能源、電信、汽車、媒體娛樂、軟體、服務和軍事等行業的财富1000企業。 一、系統架構
二、系統元件
三、産品界面
四、內建SDLC
五 、主要功能及特性
■ 作業系統獨立。作業系統獨立。代碼掃描不依賴于特定作業系統,隻需在在企業範圍内部署一台掃描伺服器,就可以掃描其它作業系統開發環境下的代碼。
■ 編譯器獨立、開發環境獨立,搭建測試環境簡單快速且統一。由于采用了獨特的虛拟編譯器技術,代碼掃描不需要依賴編譯器和開發環境,無需為每種開發語言的代碼安裝編譯器和測試環境,隻需要通過用戶端、浏覽器、開發環境內建插件登入到we伺服器。
■ 工具學習、教育訓練和使用的成本少,最小化影響開發進度。由于編譯器、作業系統和開發環境獨立,使用者無需去學習每種平台下如何去編譯代碼,調試代碼、如何掃描測試代碼,無需去看每種平台下繁瑣的使用手則。因為端瑪代碼掃描系統服務隻需要提供源代碼即可掃描,并給出精确的掃描結果。
■ 低誤報, DMSCA企業服務在掃描過程中全面分析應用的所有路徑和變量。準确地分析結果,驗證可能的風險是否真正導緻安全問題,自動排除噪音資訊,掃描結果幾乎就是最終的分析結果,誤報率(False Positive)幾乎為零。極大的減少了審計分析的人工勞動成本,極大節省了代碼審計的時間,為開發團隊赢得更多的開發時間。
■ 安全漏洞覆寫面廣且全面 (低漏報)。數以百計的安全漏洞檢查适合任于何組織,支援最新的OWASP 、CWE、SANS、PCI、SOX、GDPR、等國際權威組織對軟體安全漏洞的定義,同時支援中國國家源代碼安全檢測标準(GB/T34944-2017 Java、GB/T34943-2017 C/C++、GB/T34946-2017 C#)。漏洞覆寫面廣,安全檢查全面,其自定義查詢語言可以讓使用者靈活制定需要的代碼規則,極大的豐富組織特定的代碼安全和代碼品質的需要。
■ 安全查詢規則清晰且完全公開實作。規則定義清晰,并完全公開所有規則的定義和實作讓使用者清楚知道工具如何去定義風險、如何去查找風險,透明各種語言風險。讓使用者知道工具已經做了那些工作,沒有做那些該工作。而不是給使用者一個黑匣子,使用者無法了解工具的細節和缺陷,無法在代碼審計過程中規避工具的風險(比如漏報和誤報),比如利用人工或者其它手段查找工具不能定位的問題。
■ 安全規則自定義簡單高效。由于公開了所有規則實作的細節和文法,使用者可以快速修改規則或者參考已有的規則語句自定義自己需要規則,規則學習,定義簡單高效。能快速實作組織軟體安全政策。
■ 業務邏輯和架構風險調查。端瑪代碼掃描系統服務可以對所有掃描代碼的任意一個代碼元素(詞彙)做動态的資料影響、控制影響和業務邏輯研究和調查。分析代碼邏輯和架構特有的安全風險,并最後定義規則精确查找這些風險。這是目前唯一能動态分析業務邏輯和軟體架構的靜态技術。
■ 攻擊路徑的可視化,并以3D形式展現。每一個安全漏洞的攻擊模式和路徑完全呈現出來,以3D圖形的方式顯示,便于安全問題調查和分析。
■ 支援主流語言:Java、JSP、JavaSript、VBSript、C#、ASP.net、VB.Net、VB6、C/C++、ASP、PHP、Python、Swift、Ruby、Perl、PL/SQL、Android、OWASP ESAPI、MISRA、Objective-C (iOS)、API及第三方語言。
■ 支援的主流架構(Framework):Struts、Spring、Ibatis、GWT、Hiberante、Enterprise Libraries、 Telerik、ComponentArt、Infragistics、FarPoint、Ibatis.NET、Hibernate.Net [*]、MFC。可針對客戶特定架構快速定制支援。
■ 服務獨立,全面的團隊掃描支援。作為伺服器運作。開發人員、管理人員和審計人員都可以憑各自的身份憑證從任何一處登入伺服器,進行代碼掃描、安全審計、團隊、使用者和掃描任務管理。
■ 高度自動化掃描任務。自動內建版本管理(SubVersion、TFS、git、其它)、SMTP郵件伺服器和Windows賬戶管理,實作自動掃描代碼更新、自動掃描、自動報警和自動郵件通知等。
■ 支援多任務排隊掃描、并發掃描、循環掃描、按時間排程掃描,提高團隊掃描效率。
■ 雲服務實作:支援跨Internet實作源代碼安全掃描“雲服務”。
■ 支援最佳修複位置建議 ,圖形顯示最佳修複點。
■ 支援客戶化平台定制:定規則、定政策、定界面、定報告、定流程、定規範及接口內建。。