用什么工具電銷(xiāo)外呼程序查看源代碼比較好？

靜態(tài)源代碼安全檢測(cè)工具比較

1. 概述

隨著網(wǎng)絡(luò)的飛速發(fā)展，各種網(wǎng)絡(luò)應(yīng)用不斷成熟，各種開(kāi)發(fā)技術(shù)層出不窮，上網(wǎng)已經(jīng)成為人們?nèi)粘Ｉ钪械囊粋€(gè)重要組成部分。在享受互聯(lián)網(wǎng)帶來(lái)的各種方便之處的同時(shí)，安全問(wèn)題也變得越來(lái)越重要。黑客、病毒、木馬等不斷攻擊著各種網(wǎng)站，如何保證網(wǎng)站的安全成為一個(gè)非常熱門(mén)的話題。

根據(jù)IT研究與顧問(wèn)咨詢(xún)公司Gartner統(tǒng)計(jì)數(shù)據(jù)顯示，75%的黑客攻擊發(fā)生在應(yīng)用層。而由NIST的統(tǒng)計(jì)顯示92%的漏洞屬于應(yīng)用層而非網(wǎng)絡(luò)層。因此，應(yīng)用軟件的自身的安全問(wèn)題是我們信息安全領(lǐng)域最為關(guān)心的問(wèn)題，也是我們面臨的一個(gè)新的領(lǐng)域，需要我們所有的在應(yīng)用軟件開(kāi)發(fā)和管理的各個(gè)層面的成員共同的努力來(lái)完成。越來(lái)越多的安全產(chǎn)品廠商也已經(jīng)在考慮關(guān)注軟件開(kāi)發(fā)的整個(gè)流程，將安全檢測(cè)與監(jiān)測(cè)融入需求分析、概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、編碼、測(cè)試等各個(gè)階段以全面的保證應(yīng)用安全。

對(duì)于應(yīng)用安全性的檢測(cè)目前大多數(shù)是通過(guò)測(cè)試的方式來(lái)實(shí)現(xiàn)。測(cè)試大體上分為黑盒測(cè)試和白盒測(cè)試兩種。黑盒測(cè)試一般使用的是滲透的方法，這種方法仍然帶有明顯的黑盒測(cè)試本身的不足，需要大量的測(cè)試用例來(lái)進(jìn)行覆蓋，且測(cè)試完成后仍無(wú)法保證軟件是否仍然存在風(fēng)險(xiǎn)?，F(xiàn)在白盒測(cè)試中源代碼掃描越來(lái)越成為一種流行的技術(shù)，使用源代碼掃描產(chǎn)品對(duì)軟件進(jìn)行代碼掃描，一方面可以找出潛在的風(fēng)險(xiǎn)，從內(nèi)對(duì)軟件進(jìn)行檢測(cè)，提高代碼的安全性，另一方面也可以進(jìn)一步提高代碼的質(zhì)量。黑盒的滲透測(cè)試和白盒的源代碼掃描內(nèi)外結(jié)合，可以使得軟件的安全性得到很大程度的提高。

源代碼分析技術(shù)由來(lái)已久，Colorado 大學(xué)的 Lloyd D. Fosdick 和 Leon J. Osterweil 1976 年的 9 月曾在 ACM Computing Surveys 上發(fā)表了著名的 Data Flow Analysis in Software Reliability，其中就提到了數(shù)據(jù)流分析、狀態(tài)機(jī)電銷(xiāo)外呼程序、邊界檢測(cè)、數(shù)據(jù)類(lèi)型驗(yàn)證、控制流分析等技術(shù)。隨著計(jì)算機(jī)語(yǔ)言的不斷演進(jìn)，源代碼分析的技術(shù) 也在日趨完善，在不同的細(xì)分領(lǐng)域，出現(xiàn)了很多不錯(cuò)的源代碼分析產(chǎn)品，如 Klocwork Insight、Rational Software Analyzer 和 Coverity、Parasoft 等公司的產(chǎn)品。而在靜態(tài)源代碼安全分析方面，F(xiàn)ortify 公司和 Ounce Labs 公司的靜態(tài)代碼分析器都是非常不錯(cuò)的產(chǎn)品。對(duì)于源代碼安全檢測(cè)領(lǐng)域目前的供應(yīng)商有很多，這里我們選擇其中的三款具有代表性的進(jìn)行對(duì)比，分別是 Fortify公司的Fortify SCA，Security Innovation公司的Checkmarx Suite和Armorize公司的CodeSecure。

2. 工具介紹

2.1. Fortify SCA(Source Code Analysis)

Fortify Software公司是一家總部位于美國(guó)硅谷，致力于提供應(yīng)用軟件安全開(kāi)發(fā)工具和管理方案的廠商。Fortify為應(yīng)用軟件開(kāi)發(fā)組織、安全審計(jì)人員和應(yīng)用 安全管理人員提供工具并確立最佳的應(yīng)用軟件安全實(shí)踐和策略，幫助他們?cè)谲浖_(kāi)發(fā)生命周期中花最少的時(shí)間和成本去識(shí)別和修復(fù)軟件源代碼中的安全隱患。 Fortify SCA是Fortify360產(chǎn)品套裝中的一部分，它使用fortify公司特有的X-Tier Dataflow? analysis技術(shù)去檢測(cè)軟件安全問(wèn)題。

優(yōu)點(diǎn)：目前全球最大靜態(tài)源代碼檢測(cè)廠商、支持語(yǔ)言最多

缺點(diǎn)：價(jià)格昂貴、使用不方便

2.2. Checkmarx CxSuite

Checkmarx 是以色列的一家高科技軟件公司。它的產(chǎn)品CheckmarxCxSuite專(zhuān)門(mén)設(shè)計(jì)為識(shí)別、跟蹤和修復(fù)軟件源代碼上的技術(shù)和邏輯方面的安全風(fēng)險(xiǎn)。首創(chuàng)了以查詢(xún)語(yǔ)言定位代碼安全問(wèn)題，其采用獨(dú)特的詞匯分析技術(shù)和CxQL專(zhuān)利查詢(xún)技術(shù)來(lái)掃描和分析源代碼中的安全漏洞和弱點(diǎn)。

優(yōu)點(diǎn)：利用CxQL 查詢(xún)語(yǔ)言自定義規(guī)則

缺點(diǎn)：輸出報(bào)告不夠美觀、語(yǔ)言支持種類(lèi)不全面

2.3. Armorize CodeSecure

阿碼科技成立于2006年，總部設(shè)立于美國(guó)加州圣克拉拉市，研發(fā)中心位于臺(tái)灣的南港軟件工業(yè)園區(qū)。阿碼科技提供全方位網(wǎng)絡(luò)安全解決方案，捍衛(wèi)企業(yè)免于受到黑客利用 Web 應(yīng)用程序的漏洞所發(fā)動(dòng)的攻擊。阿碼科技 CodeSecure可有效地協(xié)助企業(yè)與開(kāi)發(fā)人員在軟件開(kāi)發(fā)過(guò)程及項(xiàng)目上線后找出 Web 應(yīng)用程序風(fēng)險(xiǎn)，并清楚交代風(fēng)險(xiǎn)的來(lái)龍去脈 (如何進(jìn)入程序系統(tǒng)源碼，如何造成問(wèn)題) 。CodeSecure內(nèi)建語(yǔ)法剖析功能無(wú)需依賴(lài)編譯環(huán)境，任何人員均可利用 Web操作與集成開(kāi)發(fā)環(huán)境雙接口，找出存在信息安全問(wèn)題的源代碼，并提供修補(bǔ)建議進(jìn)行調(diào)整。CodeSecure依托于自行開(kāi)發(fā)的主機(jī)進(jìn)行遠(yuǎn)程源代碼檢 測(cè)，在保證速度穩(wěn)定的同時(shí)方便用戶(hù)進(jìn)行Web遠(yuǎn)程操作。

優(yōu)點(diǎn)：Web結(jié)合硬件，速度快、獨(dú)具特色的深度分析

缺點(diǎn)：支持語(yǔ)言種類(lèi)較少、價(jià)格不菲

3. 對(duì)比

Fortify SCA簡(jiǎn)寫(xiě)為SCA，Checkmarx CxSuite簡(jiǎn)寫(xiě)為CxSuite，Armonize CodeSecure簡(jiǎn)寫(xiě)為CodeSecure。

SCACxSuiteCodeSecure

廠商Fortify SoftwareCheckmarx阿碼科技

支持語(yǔ)言Java,JSP,ASP.NET,C#,

VB.NET,C,C++,COBOL,

ColdFusion,Transact-SQL,

PL/SQL,JavaScript/Ajax,

Classic,ASP,VBScript,VB6,PHPJAVA、ASP.NET（C#、VB.NET）、JavaScript、Jscript、C/C++、APEXASP.NET（C#、VB.NET）、ASP、JAVA、PHP

風(fēng)險(xiǎn)種類(lèi)400種300種參考CWE

風(fēng)險(xiǎn)類(lèi)型參考來(lái)源CWE、OWASPCWE、OWASPCWE、OWASP

漏報(bào)率最低低低

誤報(bào)率稍高低低

是否支持SaaS否否是

軟硬件類(lèi)型純軟件純軟件Web結(jié)合硬件設(shè)備

運(yùn)行平臺(tái)無(wú)限制WindowsNET Framework 2.0無(wú)限制

運(yùn)行速度取決于電腦配置速度不定取決于電腦配置速度不定由主機(jī)配置決定速度恒定

報(bào)告格式PDFPDF、XML、CSV、HTMLWeb、PDF

報(bào)告內(nèi)容完整按照風(fēng)險(xiǎn)級(jí)別不同分為多個(gè)文件核心內(nèi)容完整掃描信息等缺失非常完整但修改建議放于最后

報(bào)價(jià)100萬(wàn)/軟件70萬(wàn)/軟件100萬(wàn)/軟硬件

性?xún)r(jià)比中高低

從軟件支持的源代碼語(yǔ)言上來(lái)說(shuō)，F(xiàn)ortify SCA（下文簡(jiǎn)稱(chēng)SCA）支持多達(dá)17種語(yǔ)言，Checkmarx CxSuite（下文簡(jiǎn)稱(chēng)CxSuite）其次，而Armonize CodeSecure（下文簡(jiǎn)稱(chēng)CodeSecure）在三款軟件中支持的最少，僅僅支持幾種最常見(jiàn)語(yǔ)言系統(tǒng)源碼，不過(guò)這幾種基本涵蓋了絕大多數(shù)應(yīng)用中使用的編程語(yǔ)言，基本上可以支持現(xiàn)在大多數(shù)應(yīng)用的源代碼掃描。

從風(fēng)險(xiǎn)的分類(lèi)來(lái)說(shuō)，各個(gè)廠商都有其自己獨(dú)特的分類(lèi)方式和不同的種類(lèi)數(shù)量，不過(guò)從實(shí)際應(yīng)用中可以看出，總體上仍為OWASP公布的幾類(lèi)風(fēng)險(xiǎn)，如SQL注入、跨站腳本等，已經(jīng)可以滿(mǎn)足實(shí)際中開(kāi)發(fā)人員和測(cè)試人員的需求，對(duì)于各個(gè)廠商不同的部分，一般來(lái)說(shuō)主要的區(qū)別在于理解不同，看問(wèn)題的角度不同，并無(wú)誰(shuí)錯(cuò)誰(shuí)對(duì)之原則性問(wèn)題。

從運(yùn)行平臺(tái) 的角度，CodeSecure這個(gè)產(chǎn)品目前看來(lái)已經(jīng)將SaaS的理念很好的融合進(jìn)來(lái)，整個(gè)軟件的操作界面為Web方式，用戶(hù)可以通過(guò)網(wǎng)頁(yè)進(jìn)行操作，B/S 的方式可以將操作電銷(xiāo)外呼程序的影響降到最低，只要有一臺(tái)可以上網(wǎng)的電腦和瀏覽器，無(wú)論什么操作電銷(xiāo)外呼程序都可以使用CodeSecure遠(yuǎn)程進(jìn)行源代碼掃描，CodeSecure依托的是一臺(tái)Armonize自行研制的主機(jī)，使用硬件設(shè)備的好處在于可以適用于多種場(chǎng)合，不會(huì)因?yàn)闇y(cè)試人員或是開(kāi)發(fā)人員的電腦配置影響掃描速度，掃描的速度完全取決于主機(jī)的性能。而SCA和CxSuite主要還是單機(jī)軟件，但目前也在不斷地向SaaS的方向進(jìn)行過(guò)渡，并且提供了相當(dāng)全面的貫徹整個(gè)軟件開(kāi)發(fā)流程（SDLC）的解決方案與服務(wù)給用戶(hù)。其中CxSuite這個(gè)產(chǎn)品標(biāo)明了使用該軟件的硬件配置，為Windows操作電銷(xiāo)外呼程序 和.NET框架，這個(gè)產(chǎn)品目前應(yīng)該為利用.NET框架進(jìn)行開(kāi)發(fā)，所以運(yùn)行環(huán)境有一定的局限性。同時(shí)，SCA和CxSuite因?yàn)槭菃螜C(jī)軟件，一方面在使用 前需要安裝，另一方面其運(yùn)行速度取決于運(yùn)行軟件的電腦性能，對(duì)于使用該軟件的電腦配置有一定的要求。

三種產(chǎn)品都使用了各自的技術(shù)對(duì)于威脅進(jìn)行檢測(cè)，SCA使用的是已獲得專(zhuān)利的X-Tier?數(shù)據(jù)流分析器，這三種產(chǎn)品中只有CxSuite聲稱(chēng)可以達(dá)到零誤報(bào)率，因?yàn)?其對(duì)于風(fēng)險(xiǎn)的理解是風(fēng)險(xiǎn)必須在外形上呈現(xiàn)出來(lái)才被考慮為實(shí)際的風(fēng)險(xiǎn)，這種理解方式可以說(shuō)是別出心裁，從代碼安全的角度來(lái)說(shuō)，檢測(cè)的目的是為了發(fā)現(xiàn)問(wèn)題并及時(shí)改正，同時(shí)要針對(duì)于最關(guān)鍵的問(wèn)題進(jìn)行改正，這也是這三款軟件都包含TOP X的統(tǒng)計(jì)的目的，從這一點(diǎn)上講，CxSuite的風(fēng)險(xiǎn)報(bào)告是非常謹(jǐn)慎的。SCA在以前的使用中發(fā)現(xiàn)有一定的誤報(bào)率，不過(guò)換個(gè)角度想，誤報(bào)相比漏報(bào)是可以容 忍的，規(guī)則越嚴(yán)格，誤報(bào)率就會(huì)相應(yīng)的上升而漏報(bào)率就會(huì)相應(yīng)的下降，源代碼檢測(cè)工具目前均為靜態(tài)的進(jìn)行代碼的掃描，即所有的檢測(cè)均是按照“規(guī)則”來(lái)進(jìn)行，任 何一款產(chǎn)品都不可能達(dá)到真正的零誤報(bào)、零漏報(bào)。所以可以說(shuō)SCA的規(guī)則檢查稍顯簡(jiǎn)單，CxSuite和CodeSecure的檢查比較謹(jǐn)慎。

而從漏報(bào)率上來(lái)看，謹(jǐn)慎的查找勢(shì)必會(huì)導(dǎo)致漏報(bào)率的提升，這一點(diǎn)上SCA和CodeSecure只說(shuō)明了低漏報(bào)率，而CxSuite內(nèi)部包含了一種類(lèi)似于C#稱(chēng)為 CxQL的查詢(xún)語(yǔ)言，支持使用這種語(yǔ)言進(jìn)行查詢(xún)，方便用戶(hù)進(jìn)行特定的查找。另兩款軟件使用的都是規(guī)則的方式，其本質(zhì)上應(yīng)該是相類(lèi)似的，這一點(diǎn)上規(guī)則似乎更 容易被用戶(hù)接收，但是CxQL的方式確實(shí)增強(qiáng)了用戶(hù)的操作性。

從結(jié)果輸出 上來(lái)說(shuō)，三款軟件都支持多種輸出方式，而作為報(bào)告PDF格式可以說(shuō)是最書(shū)面的一種格式。在這一點(diǎn)上，三款軟件輸出格式略有不同。

SCA報(bào)告構(gòu)成如下：掃描概述、按風(fēng)險(xiǎn)的分類(lèi)進(jìn)行詳細(xì)描述，包括每個(gè)風(fēng)險(xiǎn)的發(fā)現(xiàn)位置，代碼上下文，風(fēng)險(xiǎn)源和風(fēng)險(xiǎn)輸出，以及改進(jìn)方法，各類(lèi)風(fēng)險(xiǎn)描述之后是按照風(fēng)險(xiǎn)類(lèi)別 的所有風(fēng)險(xiǎn)的統(tǒng)計(jì)和按照風(fēng)險(xiǎn)等級(jí)的統(tǒng)計(jì)圖表。SCA的每種類(lèi)型的文件生成一個(gè)PDF文件，便于用戶(hù)對(duì)于風(fēng)險(xiǎn)嚴(yán)重程度的不同采取不同的策略。

CxSuite 報(bào)告構(gòu)成如下：風(fēng)險(xiǎn)按照不同分類(lèi)方式的統(tǒng)計(jì)圖、風(fēng)險(xiǎn)的數(shù)據(jù)統(tǒng)計(jì)情況、風(fēng)險(xiǎn)最高的文件TOP 10、按照類(lèi)別進(jìn)行風(fēng)險(xiǎn)詳述，包括風(fēng)險(xiǎn)的名稱(chēng)、描述、常見(jiàn)危害、在軟件開(kāi)發(fā)各階段的相應(yīng)處理方式、詳細(xì)示例，列舉每一個(gè)風(fēng)險(xiǎn)的傳輸路徑和相應(yīng)位置代碼。

CodeSecure 報(bào)告構(gòu)成如下：目錄、重點(diǎn)精華，包括檢測(cè)信息、弱點(diǎn)密度規(guī)范分布趨勢(shì)、弱點(diǎn)最多的文件TOP 5，弱點(diǎn)索引，弱點(diǎn)的詳細(xì)信息，包括弱點(diǎn)的全程跟蹤，最后是弱點(diǎn)信息及修改建議、所有的進(jìn)入點(diǎn)。

三款軟件的 報(bào)告中以SCA的最有特色，將不同級(jí)別的風(fēng)險(xiǎn)分文件顯示對(duì)于程序員進(jìn)行修改是極為方便的；CodeSecure的報(bào)告最為規(guī)范，整個(gè)文檔包括目錄，結(jié)構(gòu)完 整，唯一的不足是將風(fēng)險(xiǎn)的修改建議放在了最后，查閱有些不便；CxSuite的內(nèi)容可以說(shuō)是最概要的，只包含了風(fēng)險(xiǎn)的最關(guān)鍵內(nèi)容，對(duì)于程序員來(lái)說(shuō)應(yīng)該是最 簡(jiǎn)潔的。

4. 總結(jié)

這三款靜態(tài)源代碼掃描工具都有其各自特色，SCA支持的語(yǔ)言多達(dá)17種，基本上涵蓋了絕大多數(shù)的應(yīng)用，具有相 當(dāng)廣泛的適用性，但同時(shí)也使得其價(jià)格非常昂貴；CxSuite支持的語(yǔ)言包括常見(jiàn)Web應(yīng)用的語(yǔ)言，適用范圍基本上包括了大部分的應(yīng)用，其使用獨(dú)創(chuàng)的語(yǔ)言來(lái)自定義規(guī)則非常有特色，價(jià)格較之SCA有一定的優(yōu)勢(shì)；CodeSecure支持的語(yǔ)言較少，不過(guò)基本上可以適用于當(dāng)前大多數(shù)的B/S結(jié)構(gòu)應(yīng)用，它是唯一 的軟硬件結(jié)合的產(chǎn)品，在免除用戶(hù)安裝步驟的同時(shí)將掃描運(yùn)行于特定設(shè)備之上，有助于提高運(yùn)行速度，也因?yàn)榘ㄓ布木壒?，其價(jià)格不菲。

SCA極廣的適用性使其適用于橫跨多種語(yǔ)言的開(kāi)發(fā)和測(cè)試人員，CxSuite的較高性?xún)r(jià)比使其適于基于Web 的開(kāi)發(fā)人員和測(cè)試人員，CodeSecure穩(wěn)定的速度和B/S的獨(dú)特結(jié)構(gòu)使得Web開(kāi)發(fā)或測(cè)試的多人同時(shí)使用變得極為方便。

隨著應(yīng)用的安全性越來(lái)越受到人們的重視，靜態(tài)源代碼掃描和動(dòng)態(tài)掃描將逐漸融合，未來(lái)將會(huì)有更多更優(yōu)秀的源代碼掃描工具誕生，讓我們拭目以待吧。

附錄A 其他靜態(tài)源代碼檢測(cè)產(chǎn)品

公司產(chǎn)品支持語(yǔ)言

art of defenceHypersourceJAVA

CoverityPreventJAVA .NET C/C++

開(kāi)源FlawfinderC/C++

GrammatechCodeSonarC/C++

HPDevInspectJAVA

KlocWorkInsightJAVA .NET C/C++，C#

Ounce LabsOunce 6JAVA .NET

ParasoftJTEST等JAVA .NET C/C++

SofCheckInspector for JAVAJAVA

University of MarylandFindBugsJAVA

VeracodeSecurityReviewJAVA .NET

FindBugPMD／Lint4