WuKong静态代码安全测试工具
悟空是一款静态代码安全测试工具,为客户在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻 辑漏洞,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。
支持语言:C/C++、Java、Python、JS、HTML、PHP等
支持混合语言检测,支持中间码/字节码检测,也支持针对源代码本身检测

支持zip压缩包形式上传被测工程,或SVN/GIT形式上传被检测工程,支持CI(持续集成)的检测

支持Eclipse插件、IDEA插件进行本地检测
开始试用 线下预约试用请拨打免费电话:400-636-0101
从源代码入手,从根源处解决软件安全问题
Wukong专注于扫描
和检测应用软件源代码
中的潜在问题和缺陷
至今已检测上亿行
代码
发现数十万安全
“缺陷”
发现数万“严重”安
全问题
为企业避免了上亿
经济损失
源代码安全漏洞检测修复
Exchange Server内存损坏漏洞(CVE-2018-8302)
Stagefright漏洞
Linux系统double-free漏洞
Samba远程代码 执行漏洞
Linux内核漏洞Phoenix Talon
Linux内核提权漏洞(DVE-2017-6074)
永恒之蓝漏洞,Kerberos协议漏洞,SheLLShock漏洞
心血漏洞
Adobe Flash漏洞(CVE-2018-4878)
IE双杀漏洞(CVE-2018-8174),Win-dows & Adobe PDF漏洞
(CVE-2018-4990)C
Exchange Server内存损坏漏洞(CVE-2018-8302)
CPU熔断漏洞
indows DNS Server 堆溢出漏洞(CVE-2018-8626)
CPU幽灵漏洞
Windows Win32k漏洞(CVE-2018-8453)
微软Jet Database Engine远程 代码执行漏洞(CVE-2018-8423)
Windows ALPC漏洞(CVE-2018-8440)
脏牛漏洞(CVE-2016-5195)
微软Edge远程代码执行漏洞(CVE-2018-8495)
源代码级
运行级
系统级
网路级
源代码级
源代码安全漏洞检测修复
运行级
漏洞扫描器 安全沙箱 FUZZ测试
系统级
恶意软件检测 主机防护 安全OS
网络级
IDS 防火墙 隔离机

为什么选择悟空

领域技术团队潜心研发,自主技术创新

WuKong是领域专业技术团队多年科研攻关成果,核心技术取得多项荣誉成就。包括:

  • 四十余篇国际会议/期刊论文发表
  • 四次国际论文奖
  • 三十余项核心自主知识产权

支持多项国际/国内/行业检测标准

WuKong支持安全编码标准、运行时缺陷、安全漏洞等多种类型检测:

  • 支持OWASP TOP10、CWE TOP25等国际标准
  • 支持GB/T34943、GB/T34944等国家标准
  • 支持MISRA、SJ/T 11683等多项其他标准

兼容多种国产化环境

WuKong通过多项国产环境兼容适配测试,可支持多种国产环境,包括:

  • 中标麒麟
  • 银河麒麟
  • 鲲鹏
  • 龙芯
  • 飞腾
  • 等国产软硬件

提供定制化服务

WuKong响应客户的个性化需求,提供本地定制化服务,可对以下等多个模块及其他个性需求进行定制开发,如:

  • 缺陷漏洞
  • 编码标准
  • 图表报表
  • 管理功能

完备的技术支持体系

  • 全天候5天*8小时咨询服务
  • 超长5年免费质量保证
  • 专业技术专家“一对一”服务
  • 及时高效的产品升级服务
核心技术支持
指针准确识别
针对性地研究了软件安全测试中的关键难点问题——如何通过深度分析方法准确分析指针别名关系,并取得了突破性的进展。我们最新研究的深度分析方法能够大幅度提高已有安全测试产品的测试能力,从而可以准确发掘现有相关产品均无法检测到的深层次安全漏洞,大大减少漏报。相关工作先后发表于FSE'12、ISMM’13、SAS’16、FSE’16、CGO’13、PLDI’17等国际会议上
( CGO’13 最佳论文 )
高准确率分析结果
结合人工智能和机器学习的方法来进一步指导代码分析和验证分析结果,通过我们的机器学习方法能够将安全测试的准确率提高95%以上。相关工作先后发表于ACSAC’17、ICSE’18等国际会议上。
( CGO’14 最佳论文 )
高效的程序切片技术
通过先进的程序切片技术来进一步提高测试效率,能够将测试效率提高5倍,相关的研究成果获得ASE’19
( ECOOP’16 最佳论文 )
可发现大量未知错误
结合分布式系统运行时日志信息来指导安全测试,可以有效检测到云计算分布式系统中大量未知错误。相关工作发表在了SOSP’19和SANER’19等国际会议上。
( ASE’ 19 最佳论文 )
可适用编程语言类别
Wukong目前支持对C、C++、C#.NET、Java(包括Android)、JSP、JavaScript、HTML、PHP、Python、Object-C、Ruby、Swift、GO等开发语言所编写的软件产品进行安全漏洞和缺陷的检测
Wukong支持Ubuntu、CentOS主流Linux环境部署;支持中标麒麟、银河麒麟等国产操作系统部署;支持高并发用户的分布式部署
悟空产品功能列表
基本功能
支持Word、PDF格式检测报告
支持命令行
支持增量检测
支持ZIP包、SVN/Git检测
项目、任务、团队管理, 领导驾驶舱,量化分析
知识库和定制
支持标准
OWASP top 10
CWE/SANS top 25
GB 34944(Java)
GB 34943(C/C++)
SJT 11683-2017(Java)
SJT 11682-2017(C/C++)
Cert Java 安全编程规则
MISRA 2012
GJB 8114
支持框架
Spring
Mybatis
Hibernate
等14种内置框架
检测引擎
快速检测引擎
(能够快速检测,生成检测报告)
深度智能检测引擎
(可调节检测深度的智能检测引擎)
运行时缺陷检测
内存泄漏
变量未初始化使用
使用已释放的内存
数组越界
空指针解引用
资源泄漏
释放未分配的内存
无限循环
不可达路径
等100多种运行时缺陷检测
安全漏洞检测
SQL注入
跨站脚本攻击
密码权限
非法计算
代码安全
线程死锁
0Day漏洞
Cookie安全
远程拒绝服务
等上千类安全漏洞检测
定制化服务
检测器定制
Devops/DevSecOps定制
报告定制
图表中心定制
领导驾驶舱定制
产品界面展示
产品首页
高频BUG分析
快速检测
软件代码安全驾驶舱
基于WuKong的代码检测服务
出具满足多项国家及国际相关标准的测试报告,强大的源代码审计团队,满足实验室、线上、现场等多种场合的检测需求
软件源代码检测
软件源代码检测 全面覆盖软件安全规范和漏洞。
出具客观检测报告
出具客观检测报告 支持多项国际/国内/行业安全编码规范、运行时缺陷、安全漏洞类型检测。
缺陷漏洞定位分析
缺陷漏洞定位分析 精准到行的代码缺陷检测,方便开发者更快发现并解决问题。
提出修复策略
提出修复策略 针对每个发现的缺陷,提供缺陷修复建议,帮助开发者快速修复代码缺陷。
三分钟了解中科天齐
技术实力
符合国家标准
资质认证
公司荣誉
    CGO’13,CGO’14,ECOOP’16, ASE2019发表论文
    PLDI、ICSE、FSE、ECOOP、CGO、SAS等会议 成果发表
    获得国际、国内多项专利
    本产品选用Juliet Test Suite V1.3 版本的测试集进行测试,该测试集是由美国国家技术标准研究所(National Institute of Standards and Technology,NIST) 于 2017 年针对 CWE 中的不同分类所创建的。针对我们所支持的cwe分类测试结果漏报率为3% , 误报率为2%。
安全资讯
2024
01-16
中科天齐荣获“国家”“中关村”高新技术企业双项认定
北京中科天齐信息技术有限公司在经过企业申报、提交申报材料、专家评审、认定报备、公示公告等一系列程序的严格审核后,荣获“国家高新技术企业”和“中关村高新技术企业”认定,实现了双高新认定。国家高新技术企业高新技术企业是发展高新技术产业的重要基础,是调整产业结构、提高国家竞争力的生力军,在我国经济发展中占有十分重要的战略地位,一直受到各级政府的高度重视、鼓励和支持。按照规定,只有当企业研发投入占比、高新技术产品收入占比、科技人员数量、技术创新能力等核心指标满足一定条件才能获此认定。中关村高新技术企业"中关村高新技术企业"由北京中关村科技园区管理委员会审核,通过一系列严格的要求,包括企业资质、科技研发能力、技术创新能力、企业发展情况以及填报资料真实性等方面的考察,最终确定是否可以获得资质认定,是国家为支持高新企业发展,提高国家综合经济竞争力而设立。本次中科天齐获得双高新技术企业的认定,是国家对企业在科技创新上的认可和支持,同时也标志着中科天齐正式迈入高新技术企业行列。中科天齐将继续以技术为核心,以市场发展为导向,积极提升企业核心竞争力、创造力和生命力。同时更加注重知识产权、培养优秀技术人才队伍,加强科技成果转化应用能力,助推公司高质量发展,助力网络安全建设。WuKong静态代码安全测试工具 “Wukong”作为一款静态代码安全测试工具,支持多种开发语言的安全缺陷检测,兼容多种国产化环境,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。
2024
08-09
什么是动态应用程序安全测试? 和静态应用程序安全测试有什么区别?
动态应用程序安全测试 (DAST) 是在运行时分析 Web 应用程序以识别安全漏洞或缺陷的过程。在 DAST 中,测试人员在应用程序运行时检查应用程序,并试图像黑客一样攻击它。DAST 工具提供有关应用响应的信息,帮助开发人员识别和消除威胁。DAST是如何工作的?DAST 是一种黑盒测试,是从应用程序外部执行的,而不查看内部源代码或应用程序架构。因此,该测试使用与黑客相同的技术来识别漏洞。DAST 可能会采用错误注入技术来发现威胁,例如跨站点脚本或结构化查询语言注入。大多数 DAST 工具仅测试支持 Web 的应用程序的公开的 HTTP 和超文本标记语言接口。但有些是专门为非 Web 协议设计的,例如远程过程调用和会话启动协议以及数据格式错误。DAST 工具在开发期间和开发后持续扫描应用程序。DAST 在扫描 Web 应用程序之前对其进行爬行,使其能够找到应用程序内页面上的每个公开输入,然后对每个输入进行测试。在应用程序执行后执行的测试是完全自动化的,企业能够在风险成为严重攻击之前及时识别和解决风险。DAST工具会在发现漏洞时自动向开发或测试团队发送警报。虽然DAST可以让安全团队及时了解web应用程序在生产中的行为方式,但公司通常会部署其他形式的安全测试,例如静态应用程序安全测试(SAST)和应用程序渗透测试。应用程序渗透测试为攻击者如何侵入特定的web应用程序提供了一个真实的演示,而SAST让开发人员在软件开发生命周期(SDLC)的早期发现应用程序源代码中的漏洞。DAST有什么好处?DAST 工具的主要好处是企业能够从黑客的角度更好地了解其 Web 应用程序的行为方式。这使企业能够通过消除弱点并在恶意攻击发生之前阻止它们来节省修复时间和金钱。还使企业能更准确地模拟黑客行为。DAST 可以分析运行时无法通过静态分析识别的问题,例如身份验证、服务器配置问题和仅在已知用户登录时可见的缺陷。此外,许多 DAST 工具与编码语言无关,并且从外部与应用程序交互。这使得 DAST 工具能够与任何编程语言和框架一起使用。DAST的局限性是什么?DAST 工具可能会产生误报。漏洞检测结果可能并非是真实的。另外,所报告的漏洞在某些场景中可能是一个真正的威胁,但可以让经验丰富的代码分析人员识别风险是否适用于企业具体情况。DAST 工具不能检测源代码,没有完整的代码覆盖率,这样无法在源代码中找到问题的确切位置。DAST通常在SDLC的后期使用,因此开发前期的安全漏洞问题需要通过SAST来进行查找。DAST 与 SASTDAST经常与SAST一起使用,这两个测试工具在软件开发安全流程中的不同领域,同时使用两种工具能进行更全面的安全评估。DAST的黑盒安全测试方法从外部进行分析,而SAST的白盒测试方法,从内部检查应用程序。SAST不像DAST那样查找运行时错误,而DAST不像SAST那样标记特定的编码错误,并且能精确到代码行。DAST涉及操作测试,而SAST查看源代码并推测安全风险的位置,或者发现可能存在潜在漏洞的设计和构造缺陷。DAST和SAST的重要性 随着 Web 应用程序使用量的增加和应用程序变得越来越复杂,网络犯罪的风险也在增加。Web应用程序安全性应该是SDLC所有阶段的优先事项。通过SAST和DAST工具的检测,能够在应用程序开发早期发现缺陷或安全漏洞并及时修复,从而保护应用程序的良好运行,避免受到外部攻击。国产化代码检测工具WuKong支持C、C++、C#、JAVA、Python、PHP、JSP、JavaScript、HTML、Go、XML 等主流程序开发语言,支持Spring、Mybatis、Hibernate等共17种框架。采用自主专利技术的程序分析引擎,多种创新性的静态分析技术,结合深度学习和人工智能等多种方法,能够对软件代码进行全方位的安全扫描和安全分析。 
2024
07-25
人工智能模型安全存隐患,中科天齐人工智能模型安全测试系统即将发布
人工智能(AI)技术在如今的社会中发挥着越来越重要的作用,涵盖了从自动驾驶汽车到医疗诊断的各个领域。神经网络算法作为其中的核心技术之一,被广泛应用于图像识别、自然语言处理、智能推荐等领域。然而,正是因为其复杂性和高度非线性的特点,神经网络算法本身也存在着一些安全漏洞问题,这些安全问题可能导致数据泄露、隐私侵犯、系统瘫痪等严重后果,对个人、组织甚至整个社会都构成潜在威胁。首先,对抗性攻击是神经网络算法面临的一个主要安全问题。对抗性攻击是指故意设计具有微小扰动的输入数据,以使神经网络产生错误的输出。这种攻击可能导致图像分类错误、语音识别失效等严重后果。神经网络算法对输入数据的微小变化非常敏感,这使得它们容易受到对抗性攻击的影响。为了增强神经网络算法的鲁棒性,研究人员提出了对抗性训练、对抗性样本生成等技术,以使神经网络能够更好地抵御对抗性攻击。其次,隐私问题也是神经网络算法面临的重要安全漏洞。在训练和部署神经网络模型时,通常需要大量的数据,其中可能包含个人身份信息、健康记录等敏感数据。如果这些数据未经妥善保护,可能会导致用户隐私泄露、身份盗窃等问题。第三个安全漏洞问题是模型解释性。许多神经网络模型被认为是黑盒模型,难以解释其决策过程。这种缺乏解释性不仅使用户难以理解模型的工作原理,也可能导致模型做出不可预测的决策。为了提高神经网络模型的解释性,研究人员提出了局部解释性模型、特征重要性分析等技术,以帮助用户理解模型的决策过程,并确保模型的决策符合逻辑和规范。另一个重要的安全漏洞问题是过拟合。神经网络算法在训练过程中可能会过度拟合训练数据,导致模型在未见数据上的泛化能力下降。这可能导致模型在实际应用中表现不稳定,产生错误的预测结果。为了解决过拟合问题,研究人员提出了正则化、数据增强等方法,以提高神经网络模型的泛化能力,使其能够更好地适应新的数据。最后,神经网络算法还可能受到恶意操纵的影响。恶意攻击者可能通过有意修改训练数据或操纵模型输出来达到其目的,例如欺诈、信息篡改等。这种行为可能对金融、电子商务等领域造成严重影响。为了防止恶意操纵,研究人员提出了模型鲁棒性验证、安全增强学习等方法,以确保神经网络模型的安全性和可靠性。人工智能技术的迅猛发展和广泛应用正在深刻地改变着各行各业,但同时人工智能模型存在的安全隐患也为数字产业带来了安全方面的挑战。为了应对这些挑战,中科天齐通过对神经网络鲁棒性边界检测、神经网络形式化分析及神经网络鲁棒性度量评估三个方面进行研究,即将推出人工智能模型(神经网络算法)安全性测试评估系统——“智信”,通过建立相应的测试和评估机制,对模型的性能、鲁棒性和安全性进行全面检验,提高人工智能模型的准确性与稳定性。中科天齐人工智能模型(神经网络算法)安全性测试评估系统“智信”可分为三大测试工具,其中包括3大工作模块及多个步骤,通过不同模块之间协同工作,人工智能模型(神经网络算法)测试能够更加全面地评估算法的性能、鲁棒性和可靠性,为神经网络的进一步优化和改进提供有力支持。通过提高人工智能模型(神经网络算法)安全性,我们可以更好地应对人工智能模型的漏洞问题,推动人工智能技术朝着更加安全、透明和可持续的方向发展。 让人工智能技术更加安全、可靠地促进数字产业发展是我们共同的愿景,欢迎持续关注中科天齐人工智能模型(神经网络算法)安全性测试评估系统。