一款好用的国产软件源代码缺陷分析平台 — CodeSense

CodeSense是新一代的软件源代码缺陷深度分析平台。

包含多个自研的代码分析引擎，同时提供开放的方案，支持多种商业/开源分析引擎集成并对结果进行集中展示，与目前市面的国外商业工具对比，在语言种类、功能、标准、缺陷分类数量上，已达到一致。额外针对国内市场环境，CodeSense提供了大量适用于中国用户使用场景易用的功能。

 http://www.valiantsec.cn/product/d=77

CodeSense是结合清华大学与国防科技大学的专家团队对代码静态分析技术的深度理论研究，经过长期软件工程实践研发而成，可以支持10余种编程语言和开发框架，并且可在多种国产平台进行部署。

产品功能

采用业界先进的值流图分析技术，能够实现跨程序/跨文件的上下文敏感分析与对象敏感分析，精准的检测软件安全漏洞与质量缺陷，结合独有的智慧减负与黑白名单技术，服务于安全部门或研发团队。

·  支持主流软/硬件环境

   支持Windows、Linux、银河麒麟等操作系统的部署运行，支持对基于SpringMVC、SpringBoot、SSM、Struts2、ThinkPHP、Flask等多种常见编程语言框架开发的软件进行源代码静态分析，支持的主流开发语言包括：C/C ++、C #、Java、P HP、Python、JavaScript、XML、Go、Scala、Kotlin、Ruby等。

• 
• ·  代码安全态势感知

•     为项目管理人员提供代码安全与质量综合评估平台，全面展示安全状态，减少软件安全与质量短板。

• ·  强大的安全漏洞和软件质量缺陷检测能力

•    安全漏洞与质量缺陷检测能力可完全覆盖CWE 7PK、OWASP TOP 10、GJB-8114、GJB-5369、MISRA等行业标准与规范，能够有效的检出程序中潜在的内存安全类、运行时异常、注入类、跨站类、性能问题等安全漏洞和质量缺陷。

• ·  全局数据流图

•    CodeSense为缺陷与漏洞提供全局数据流图与最佳修复点建议，协助开发人员快速定位修复该类型缺陷的最关键函数/代码块。

• ·  软件开发生命周期集成功能

•   支持与软件开发生命周期中的各种工具进行集成，包括SCM工具： Git、SVN；构建工具如CMake、Maven；持续集成环境：Jenkins、GitLab-CI；缺陷跟踪系统：禅道；提供REST API接口，可无缝集成到DevOps流程中。

·  精准分析能力

•    采用行业领先的值流图技术方案，兼顾了代码静态分析效率与精度，可跨越多重函数、多个文件检测出隐蔽的代码安全漏洞与质量缺陷，有效提升了检出率。
• ·  智慧减负

•    可以针对同一代码的不同版本进行增量分析，可将之前的代码审计结果链接到后续版本中进行趋势分析，方便相关人员在版本迭代时重点关注新增问题和遗留问题，极大地减少工作量，提高研发效率。

• ·  简便的黑白名单定义操作

•    提供基于函数签名的黑名单函数自定义（Source点、Sink点）和白名单函数（Sanitize点）功能，用户能够基于业务需求将自定义的功能封装函数、安全处理函数录入CodeSense，提升分析结果的准确度。

• 

主要产品指标以及优势

荣获奖项 

NASAC2018代码漏洞检测工具一等奖

NASAC2018整数缺陷自动修复工具优秀奖

NASAC2018 API分析工具三等奖

工信部首届“鼎信杯”应用创新软件 

产品优势

· 提高代码安全

能够发现软件源代码中潜在的安全风险并提供修复建议，同时提供主流IDE插件，支持RESTFULAPI，易于嵌入DevOps流程。

· 节省代码审计时间

支持增量分析并提供对比视图，支持审计信息导出携带，软件版本迭代只需关注新增问题，大幅度节省代码审计的人力与时间成本。

· 完全自主可控

核心代码均为自主研发，拥有完全自主知识产权，支持多种操作系统，已经通过银河麒麟飞腾OS系统兼容性认证。

· 提高代码质量与软件合规

检测引擎已经通过CWE认证，全面覆盖CWE安全缺陷和质量缺陷，同时也支持主流行业编程规范的符合性检查，如：GJB5369-2005、GJB 8114-2013、MISRA-C 2012、MISRA-C++ 2008，并且支持常见代码复杂性度量指标。

· 无惧信息泄露

提供完备的用户角色访问权限控制功能，支持项目级的细粒度权限控制，仅允许拥有权限的用户查看项目源码和分析结果。

产品指标

·  支持缺陷（违规）类型1800余条，其中，CWE 7PK覆盖率80%以上，OWASP TOP 10覆盖率100%，GJB/8114-2013、GJB/5369-2005 覆盖率95%， MISRA C-2004、MISRA C-2012、MISRA C++-2018 覆盖率80%。

·  缺陷类分析误报率低于35%（符合：JCTJ 009—2015 《公安部信息安全技术软件源代码安全缺陷检测产品检测条件》的性能要求）。

·  支持分布式方式部署分析引擎，可支持100个检测任务并发分析。

·  支持docx、pdf、xlsx、xml报告模式，支持一键生成测试报告。

·  缺陷类分析漏报率＜10 %，代码规范类问题分析漏报率＜5%。

·  最快分析速度可达300行/秒，十万级源代码可在6分钟内完成检测，百万级源代码可在4小时内完成检测。

·  支持私有云部署，普通PC即可满足50人同时使用。
 

来源：ValiantSec