WuKong静态代码安全测试工具
WuKong(悟空)是一款性能优异的国产静态代码检测工具 检测源代码安全缺陷和编码规范
支持C、C++、C#、JAVA、Python、JavaScript等主流程序开发语言

支持混合语言检测,支持中问码/字节码检测,也支持针对源代码本身检测

支持天脉、Keil、CCS等嵌入式环境的自动编译构建和分析

支持Eclipse插件、IDEA插件进行本地检测

支持zip压缩包形式上传被测工程,或SVN/GIT形式上传被检测工程,支持CI(持续集成)的检测

支持GB/T34943、GB/T34944、SJ/T11682、SJ/T11683、GJB8114、CWE、OWASP、Misra等国内 外标准规范

支持GIT/SVN的增量检测/全量检测,支持两个任务版本之间检测结果对比
开始试用 线下预约试用请拨打免费电话:400-636-0101

为什么选择悟空

领域技术团队潜心研发,自主技术创新

WuKong是领域专业技术团队多年科研攻关成果,核心技术取得多项荣誉成就。包括:

  • 四十余篇国际会议/期刊论文发表
  • 四次国际论文奖
  • 三十余项核心自主知识产权

支持多项国际/国内/行业检测标准

WuKong支持安全编码标准、运行时缺陷、安全漏洞等多种类型检测:

  • 支持OWASP TOP10、CWE TOP25等国际标准
  • 支持GB/T34943、GB/T34944等国家标准
  • 支持MISRA、SJ/T 11683等多项其他标准

兼容多种国产化环境

WuKong通过多项国产环境兼容适配测试,可支持多种国产环境,包括:

  • 中标麒麟
  • 银河麒麟
  • 鲲鹏
  • 龙芯
  • 飞腾
  • 统信
  • 等国产软硬件

提供定制化服务

WuKong响应客户的个性化需求,提供本地定制化服务,可对以下等多个模块及其他个性需求进行定制开发,如:

  • 缺陷漏洞
  • 编码标准
  • 图表报表
  • 管理功能

完备的技术支持体系

  • 全天候技术咨询服务
  • 维保期内免费移机服务
  • 及时高效的产品升级服务
  • 免费提供软件使用技术培训服务
可适用编程语言类别
Wukong目前支持 C、C++、C#、JAVA、Python、JavaScript 等开发语言所编写的软件产品进行安全漏洞和缺陷的检测
Wukong支持Ubuntu、CentOS主流Linux环境部署;支持中标麒麟、银河麒麟等国产操作系统部署;支持高并发用户的分布式部署
悟空产品功能列表
基本功能
支持Word、PDF格式检测报告
支持命令行
支持增量检测
支持ZIP包、SVN/Git检测
项目、任务、团队管理, 领导驾驶舱,量化分析
知识库和定制
支持标准
OWASP top 10
CWE/SANS top 25
GB 34944(Java)
GB 34943(C/C++)
SJT 11683-2017(Java)
SJT 11682-2017(C/C++)
Cert Java 安全编程规则
MISRA 2012
GJB 8114
支持框架
Spring
Mybatis
Hibernate
等14种内置框架
检测引擎
快速检测引擎
(能够快速检测,生成检测报告)
深度智能检测引擎
(可调节检测深度的智能检测引擎)
运行时缺陷检测
内存泄漏
变量未初始化使用
使用已释放的内存
数组越界
空指针解引用
资源泄漏
释放未分配的内存
无限循环
不可达路径
等100多种运行时缺陷检测
安全漏洞检测
SQL注入
跨站脚本攻击
密码权限
非法计算
代码安全
线程死锁
0Day漏洞
Cookie安全
远程拒绝服务
等上千类安全漏洞检测
定制化服务
检测器定制
Devops/DevSecOps定制
报告定制
图表中心定制
领导驾驶舱定制
产品兼容认证
产品界面展示
产品首页
高频BUG分析
快速检测
软件代码安全驾驶舱
客户
从源代码入手,从根源处解决软件安全问题
Wukong专注于扫描
和检测应用软件源代码
中的潜在问题和缺陷
至今已检测上亿行
代码
发现数十万安全
“缺陷”
发现数万“严重”安
全问题
为企业避免了上亿
经济损失
源代码安全漏洞检测修复
Exchange Server内存损坏漏洞(CVE-2018-8302)
Stagefright漏洞
Linux系统double-free漏洞
Samba远程代码 执行漏洞
Linux内核漏洞Phoenix Talon
Linux内核提权漏洞(DVE-2017-6074)
永恒之蓝漏洞,Kerberos协议漏洞,SheLLShock漏洞
心血漏洞
Adobe Flash漏洞(CVE-2018-4878)
IE双杀漏洞(CVE-2018-8174),Win-dows & Adobe PDF漏洞
(CVE-2018-4990)C
Exchange Server内存损坏漏洞(CVE-2018-8302)
CPU熔断漏洞
indows DNS Server 堆溢出漏洞(CVE-2018-8626)
CPU幽灵漏洞
Windows Win32k漏洞(CVE-2018-8453)
微软Jet Database Engine远程 代码执行漏洞(CVE-2018-8423)
Windows ALPC漏洞(CVE-2018-8440)
脏牛漏洞(CVE-2016-5195)
微软Edge远程代码执行漏洞(CVE-2018-8495)
源代码级
运行级
系统级
网路级
源代码级
源代码安全漏洞检测修复
运行级
漏洞扫描器 安全沙箱 FUZZ测试
系统级
恶意软件检测 主机防护 安全OS
网络级
IDS 防火墙 隔离机
基于WuKong的代码检测服务
出具满足多项国家及国际相关标准的测试报告,强大的源代码审计团队,满足实验室、线上、现场等多种场合的检测需求
软件源代码检测
软件源代码检测 全面覆盖软件安全规范和漏洞。
出具客观检测报告
出具客观检测报告 支持多项国际/国内/行业安全编码规范、运行时缺陷、安全漏洞类型检测。
缺陷漏洞定位分析
缺陷漏洞定位分析 精准到行的代码缺陷检测,方便开发者更快发现并解决问题。
提出修复策略
提出修复策略 针对每个发现的缺陷,提供缺陷修复建议,帮助开发者快速修复代码缺陷。
三分钟了解中科天齐
技术实力
符合国家标准
资质认证
公司荣誉
    CGO’13,CGO’14,ECOOP’16, ASE2019发表论文
    PLDI、ICSE、FSE、ECOOP、CGO、SAS等会议 成果发表
    获得国际、国内多项专利
    本产品选用Juliet Test Suite V1.3 版本的测试集进行测试,该测试集是由美国国家技术标准研究所(National Institute of Standards and Technology,NIST) 于 2017 年针对 CWE 中的不同分类所创建的。针对我们所支持的cwe分类测试结果漏报率为3% , 误报率为2%。
安全资讯
2024
01-16
中科天齐荣获“国家”“中关村”高新技术企业双项认定
北京中科天齐信息技术有限公司在经过企业申报、提交申报材料、专家评审、认定报备、公示公告等一系列程序的严格审核后,荣获“国家高新技术企业”和“中关村高新技术企业”认定,实现了双高新认定。国家高新技术企业高新技术企业是发展高新技术产业的重要基础,是调整产业结构、提高国家竞争力的生力军,在我国经济发展中占有十分重要的战略地位,一直受到各级政府的高度重视、鼓励和支持。按照规定,只有当企业研发投入占比、高新技术产品收入占比、科技人员数量、技术创新能力等核心指标满足一定条件才能获此认定。中关村高新技术企业"中关村高新技术企业"由北京中关村科技园区管理委员会审核,通过一系列严格的要求,包括企业资质、科技研发能力、技术创新能力、企业发展情况以及填报资料真实性等方面的考察,最终确定是否可以获得资质认定,是国家为支持高新企业发展,提高国家综合经济竞争力而设立。本次中科天齐获得双高新技术企业的认定,是国家对企业在科技创新上的认可和支持,同时也标志着中科天齐正式迈入高新技术企业行列。中科天齐将继续以技术为核心,以市场发展为导向,积极提升企业核心竞争力、创造力和生命力。同时更加注重知识产权、培养优秀技术人才队伍,加强科技成果转化应用能力,助推公司高质量发展,助力网络安全建设。WuKong静态代码安全测试工具 “Wukong”作为一款静态代码安全测试工具,支持多种开发语言的安全缺陷检测,兼容多种国产化环境,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。
2024
10-28
中科天齐团队参加ACM CCS24大会,提出全新BOLA漏洞检测工具
近日,ACM CCS24即第31届ACM计算机和通信安全大会在美国盐湖城举行,中科天齐团队成员黄永恒博士在会上展示了题为《Detecting Broken Object-Level Authorization Vulnerabilities in Database-Backed Applications》的研究成果。该研究针对数据库支持的应用程序中常见的Broken Object-Level Authorization (BOLA)漏洞展开了深入分析,填补了对该类漏洞系统性研究的空白。研究团队通过分析101个开源应用中的实际BOLA漏洞,总结了数据库支持应用程序中最常见的四种对象级别授权模型。这一分析为开发全新的自动化检测工具BolaRay奠定了基础。BolaRay结合SQL分析和静态分析,自动推断应用程序中使用的授权模型,并验证这些模型是否正确实施了访问控制检查。在对25个流行的数据库支持应用程序进行测试时,BolaRay成功发现了193个真实漏洞,其中178个为首次报告,误报率为21.86%。迄今为止,研究团队已向相关项目的维护者报告了所有新发现的漏洞,155个漏洞已被确认,并且已有52个漏洞获得了CVE编号。ACM CCS与IEEE S&P、USENIX Security和NDSS并称为信息安全领域的四大顶级国际学术会议,同时也是中国计算机学会推荐的CCF-A类会议。该会议吸引了来自全球的顶尖研究人员与专家,探讨网络安全领域的前沿问题与创新技术,是展示国际最前沿研究成果的重要平台。2024年,ACM CCS的录取率为16.9%(331/1964),反映了网络安全领域的最高学术水准。 此次研究团队的研究成果进一步推动了对BOLA漏洞的深度理解和自动化检测技术的进展,展示了研究团队在网络安全领域的领先研究实力。
2024
10-18
中科天齐董事长李炼博士受邀参加第三届OpenHarmony技术大会
近日,第三届OpenHarmony技术大会在上海成功举行。此次大会是举办至今规模最大的鸿蒙相关的技术大会,会上邀请了来自全球的开源操作系统技术领袖、前沿实践专家、广大开发者以及学术界大咖,面向全球展示了OpenHarmony的最新技术、生态、人才进展与行业实践。作为应用软件安全分析领域资深专家,北京中科天齐信息技术有限公司董事长李炼博士受邀参加此次大会,并发表主题为《高层语义的自适应分析方法与工具》的演讲,同业界人员共同探讨高质量OpenHarmony应用的开发与生态建设。李炼博士指出,应用层的大部分安全性问题以及性能和功能问题都需要深入理解高层的应用逻辑语义,例如检测授权以及认证等相关安全问题需要深入理解应用的认证以及授权机制。但这些高层语义和应用具体实现密切相关,往往无法进行通用的定义。针对上述问题,李炼博士进一步探讨了如何通过自动半自动的方法来自动推断高层应用语义、以及如何严格地表述高层语义信息。并进一步介绍了如何在WuKong中实现高效便于扩展的高层语义分析工具:通过声明式的方法来定义高层语义,并扩展现有分析工具来实现对自定义语义的自动检测,从而兼顾分析工具的可扩展性与效率和精度。他指出,通过自动或半自动高层语义推断以及自适应分析方法与工具,可以解决灵活多变的应用层逻辑问题。李炼博士是中国科学院计算技术研究所研究员,常年从事程序分析与软件安全方向研究,成果发表于领域内顶级会议及期刊包括SOSP、USENIX SECURITY、CCS、OOPSLA、NDSS、FSE、TSE、ASE、ISSTA上,累计50余篇,获得ASE2019杰出论文奖以及CCS2022最佳论文提名。获得中国科学院优秀导师奖(2020,2021),中国科学院领雁奖(2021,2022)。承担了包括国家重点研发计划(课题负责人),国家重点基金(子课题负责人),中科院STS项目等多个项目。研发的静态分析工具WuKong已经产业化,广泛应用于包括多个IT企业、国家部委在内的多家单位,为开源社区发现数百个严重缺陷,获得100+CVE。关于中科天齐 北京中科天齐信息技术有限公司(简称中科天齐)由李炼博士创立,以自主研究成果中科天齐软件源代码安全缺陷检测平台为主打产品,团队凭借多年在程序分析领域的技术积累,致力打造应用软件安全漏洞治理领域新生态的高新技术企业。中科天齐积极拥抱开源事业,不断探索开源生态下的应用软件安全分析策略,为OpenHarmony生态的原生安全建设贡献力量。