北大CoBOT软件源代码静态分析工具(英文缩写CoBOT SAST)应用多种国际先进的代码分析和深度学习技术,开发出一套源代码检测系统,在不改变组织现有发展的情况下,满足组织的源代码检测需求。 ,在测试流程的前提下,与源代码管理系统(Git、SVN等)、缺陷管理系统(如Jira、等)、持续集成工具(如等)无缝对接,进行源码集成代码检测 公司研发流程实现源代码编码规则检测、运行时缺陷检测、安全漏洞检测、度量统计、克隆检测、自动生成逆向架构图,并提供检测器自主研发接口等功能,帮助组织快速构建源代码。 代码安全独立检测系统和能力。
2015年通过CWE合规认证,成为国内首个通过该认证的软件安全测试工具,打破了国外产品在软件缺陷检测和安全漏洞分析领域的垄断。 带动了国内软件代码安全测试行业的发展。
Kubo久保软件源码静态分析工具的部分主要技术指标如下:
项目
支持状态
支持的语言
支持C/C++、Java、Go等十种左右主流开发语言。
安全漏洞
OWASP TOP 10、CWE/SANS TOP 25 等
缺点
CWE ( ) 200多种缺陷类型
编码标准
MISRA 2004、MISRA 2008、MISRA 2012、GJB 5369、GJB 8114 等
特别支持规则集定制。
支持的编译器
ARM C/C++、C++、GNU GCC C++、Intel C++、Keil、SUN CC 等数十种编译器
兼容平台
支持Linux、Kirin等多种主流通用操作系统开发的源代码检测。
错误管理系统
、Jira、TFS、禅道
IDE插件
,等待
扩展能力
定制检测规则和检测报告
检测效率
平均 100 万行/小时
1. 代码缺陷检测
CoBOT SAST可以在不运行程序的情况下对代码进行全面扫描,并快速报告软件中的漏洞,包括复杂边界条件的漏洞,是动态测试的有效补充。 缺陷检测方面,支持C/C++、Java、PHP、JSP、HTML、C#、Swift、Scala、Go等10多种主流开发语言的软件源代码缺陷检测。可检测的缺陷包括缓冲区溢出、SQL注入、跨站脚本等74个大类,以及2000多个子类。 兼容CWE( )、OWASP TOP 10、CWE/SANS TOP 25、ISO 17961、CERT Java、MISRA系列、GB/T系列、GJB系列、SJ/T系列等国际国内标准。
您可以直接测试项目,也可以创建计划任务定期测试项目。 当同时测试多个项目时,可以将项目排队等待测试。
您可以使用超过2000个检测项来检测源代码并得到结果。 您还可以导出 PDF、Word、Excel 等格式的报告。 检测结果列表如下:
2. 源代码测量
为了提高代码的可维护性,需要从代码行数、圈复杂度、扇入扇出度等多个角度来理解软件指标。 CoBOT SAST支持项目级别、文件级别、功能级别等30多种测量类型,并将不符合标准的文件和功能分配给相应的开发人员进行修改。 源代码指标如下所示:
3. 源码克隆分析
CoBOT SAST支持代码克隆分析,以查找与源代码功能相同但经过修改的代码。 由于所使用的第三方软件或者企业内部代码在复用过程中可能会被修改,因此需要通过克隆检测来发现代码的来源,找到因代码克隆而导致的软件不一致的情况。 CoBOT SAST的克隆分析可以应用于代码抄袭检测、同源漏洞检测等,克隆分析结果如下图所示:
4.源码分析图形化展示
CoBOT SAST支持基于源代码逆向生成程序架构图,如:函数控制流程图、文件函数调用图、项目函数调用图、继承关系图、UML类图等。提供PNG、SVG等格式导出格式。 源码分析图如下所示:
5. 性能统计
CoBOT SAST支持通过连接SVN、Git等代码管理系统获取提交记录。 它结合了源代码缺陷检测、源代码度量、源代码克隆分析,对开发人员和项目的软件质量((问题级别和数量)、工作难度(可靠性、可维护性、复杂性)、工作效率/能力进行分析统计(代码提交量、问题修复量和修复率、问题密度)等信息,为开发者提供重要信息(Key Index)考核依据。性能统计如下图所示:
6、定期检测
CoBOT SAST不仅支持本地源代码检测,还支持从SVN、Git等代码管理系统获取源代码进行检测。 支持定时自动检测。 用户可以将CoBOT SAST与代码库关联,配置定时检测计划,并按照任务设置定期自动获取代码库中的源代码进行检测。 检测结果可以根据代码库提交记录自动分配给相关负责人,并可以通过电子邮件向相关负责人发送提醒。
七、产品优势
采用多种先进的静态分析技术,保证分析的效率和准确性。 模式挖掘技术与深度学习相结合,保证了代码分析引擎添加缺陷模式,保证了分析的广度。 它包括三种类型的编码规则、缺陷和漏洞,以及数千种类型的检测器来完成各种类型的检测。 它集成了多种工具的功能,为企业降低成本。 提供工具的分析引擎接口,用户可以根据自己的缺陷类型进行定制研发。