8款国内外代码分析工具对比测试,来看哪一款适合你

最近,鸿渐科技启动了关于SDL和开发安全的代码分析工具项目。调研了很多产品的功能及POC,下面分享一些调研心得,希望对大家有所帮助:

1、百度搜索

百度搜索“代码分析工具”,虽然发现不少相关工具,但其数据准确性还有待商榷,且具体功能也需进一步POC。

2、开源工具

我们研究过findbugs[1]的sec版、sonar[2]和cobra[3]等开源工具。它们虽然使用起来方便高效,但达不到项目要求的安全标准。不过测出的严重问题并不多。

3、商用产品POC范围确认

根据Gartner和国内权威第三方调研机构的调研,我们选出了若干获得普遍认可的工具,如国外的Fortify[4]、checkmarx[5]、Klocwork[6]和Coverity[7],国内的代码卫士[8]、Wukong[9]、鸿渐SAST[10]和酷德啄木鸟[11]。

根据项目需求,我们亦针对上述产品做了POC,汇总如下:

001.png

表一:国外产品对比(含鸿渐SAST)

 注:国外工具1-4为Fortify、checkmarx、Klocwork和Coverity中的某一款,排序无对应关系。

002.png

表二:国内产品对比

 注:国内工具1-3为代码卫士、Wukong和酷德啄木鸟中的某一款,排序无对应关系。

大家若想选出合适的工具产品,首先要根据项目需求确定供应商范围,然后再根据POC测试数据进行最终工具确定。以下是通过这次调研,我们总结的一个确定供应商的方法,供大家参考:

003.png

通过此次调研,我们发现越来越多优秀的国产工具开始崭露头角,尤其是像鸿渐科技的代码扫描工具SAST[12],目前已达国内领先,国际先进水平。通过POC结果看,也完全能支撑项目的大部分需求。相信随着它进一步迭代发展,达到国际领先,指日可待。

贸易战以来,美国对我国的打压已扩大到科技领域。国产替代的趋势亦逐渐盛大。“青山遮不住,毕竟东流去。”,相信中国必将突破外部封锁,驶入浩瀚大洋扬帆远航。国内代码分析企业也将迎来自己的高光时刻。

以上就是这次调研的分享,大家有什么想法欢迎留言讨论哦。

参考资料:

[1] http://findbugs.sourceforge.net/

[2] https://www.sonarqube.org/

[3] http://cobra.feei.cn/

[4] https://www.joinfortify.com/

[5] https://www.checkmarx.com/

[6] https://www.perforce.com/products/klocwork

[7] https://scan.coverity.com/

[8] https://www.qianxin.com/

[9] https://www.woocoom.com/

[10] http://www.redrocket.cn/

[11] http://www.codepecker.com.cn/

[12] http://www.redrocket.cn/Home/Product_introduction/index.html?id=2

来源:数世咨询

上一篇:针对沉浸式VR系统的虚拟环境操纵攻击

下一篇:如何使用pyWhat从海量数据中识别出邮件或IP地址