自动化源代码审计工具

---

当今，安全专家们既要与来自组织外部的威胁搏斗，又要与来自组织内部员工的威胁做斗争。 但是他们如何应对已知的存在的威胁呢？未来的2-4年将会出现各种各样的网络攻击，同时用于防御攻击的技术和方法也会取得进展。 在Gartner安全风险峰会上，Gartner的研究副总裁Earl Perkins，提出了未来2-4年的3个安全战略规划SPA，至少有一年时间，99%被利用的漏洞将会继续是安全和IT专家们已知的漏洞。 建议：公司应着重修复他们知道存在的漏洞。 这些漏洞容易被忽略，也更容易以更高的成本修复。在未来，1/3成功的攻击将会是在客户的“影子” IT资源上。 建议：客户应想办法追踪影子IT资源，并建立“验收和防御 + 检测和惩罚” 的策略。未来几年，对公共云数据的攻击会愈发严重，数据安全管理程序将会显得格外重要，建议：定制化数据安全管理（DSG）程序。 识别数据安全缺口，制定详细规划解决问题。

---

自动化源代码审计工具：

• 自动化代码分析
• 符合国际标准安全编程指南要求的工具
• 基于变更影响分析技术的代码审计工具
• 单机版本 + 服务器协同版本

自动化源代码审计工具beSOURCE 的语言及规范:

• 支持语言：JAVA, JSP, HTML, XML, C, C++, ASP, PHP, Android Java, Objective C
• 国际标准安全编程指南：Common Weakness Enumeration, CWE/SANS TOP 25, OWASP 0, CERT Secure Coding Guidelines
• 预期效果： 通过国际标准安全漏洞检测规则，对源代码进行流程、路径、上下文敏感分析、过程间分析，在开发阶段初期检测出潜在的安全漏洞问题并及时修改。确保系统运行时的安全性。

beSOURCE 引擎:

通过静态分析技术，进行精密及正确的源代码安全漏洞检测




beSOURCE 优势:




beSOURCE 功能一览:




beSOURCE 主要特点:

• 检测脆弱的源代码：使用语义分析算法，它检测可能导致安全师父的源代码，SQL注入，命令注入，跨站脚本，HTTP响应拆分，缓冲区溢出等
• 简单的管理规则：允许使用规则说明语言创建新的规则或修改现有的规则，其化的规则管理支持开发人员客户端自动更新规则
• 报告机制和安全的编程指南：生产与被检测到的安全缺陷相关的详细报告，包括行号，被违反的规则说和示例代码
• *的分析技术：它不要求另外的复杂的编译器环境设置，应用*的静态分析技术，如格式分析，流分析，类型分析，属性分析和值分析
• 既检测质量又检测漏洞：它可以支持在单一环境中检测源代码的质量和漏洞

beSOURCE 漏洞检测标准:

纳入 CWE/SANS Top25, OWASP 0等国际标准作为检测依据，安全审计规则采用CWE 公布的对风险类型的检查规则，内置CWE规则覆盖OWASP, SANS




beSOURCE 在企业中的应用:





beSOURCE 报告界面: