静态代码安全测试工具WuKong有哪些功能

2024-03-13

静态代码安全测试工具主要应用在软件开发阶段，用来检测源代码中是否存在安全缺陷或编码规范问题等，主要应用在以下几个方面：代码质量控制：静态代码检测工具可以帮助开发团队在编码过程中发现潜在的代码质量问题，如代码规范性、安全漏洞、性能问题等，提高整体代码质量。安全漏洞检测：静态代码检测工具能够检测代码中的安全漏洞，如可能导致 SQL 注入、跨站脚本攻击等问题，帮助开发团队及时修复潜在的安全风险。规范性检查：静态代码检测工具能够根据事先设定的编码规范或最佳实践，检查代码是否符合规范，有助于保持团队的统一代码风格，提高代码的可读性和可维护性。<a href="https://www.woocoom.com" target="_blank" style="background-color: rgb(255, 255, 255);">国产静态代码安全测试工具WuKong</a>是一款可适配国产环境的静态代码安全测试工具，拥有自主研发技术，结合深度学习和机器学习等方法，大大提高测试准确率，通过深度分析方法分析指针别名关系发掘更多深层次安全漏洞。工具采用B/S架构，界面友好易于理解和操作，支持检测多种语言代码，支持C、C++、JAVA、Python、PHP、JavaScript、HTML、JSP、XML、C#等主流开发语言。支持以多种上传方式进行检测，如zip压缩包上传，SVN/GIT形式拉取代码检测，以TFS、共享目录、FTP形式直接访问代码等。在安全漏洞及缺陷等问题上，不但可以检测缓冲区溢出、中断的数据竞争和死锁等并发错误及内存泄漏等错误在内的运行时缺陷，也可以检测SQL、XSS跨站脚本、弱密码等安全漏洞，支持跨文件跨函数的线程间共享变量数据竞争问题的检测。工具支持的检测标准包括国家标准GB/T34943、GB/T34944、国军标规范 GJB5369、8114和行业标准SJ/T 11682-2017、SJ/T 11683-2017等的检测;国际标准OWASP Top 10、CWE Top 25、Cert C、ISO17961、MISRA C2012等。工具支持国产化环境，如龙芯、鲲鹏、飞腾、申威、统信和海光等。可进行灵活自定义规则，可集成在开发流程中。对于检测结果，可以进行人工复核并进行标注，可导出不同格式的检测报告，并且可自定义检测报告内容。 静态代码安全测试工具适用领域广泛，如政府机关、金融科技、科研院所、软件研发等企业单位。当前，软件供应链安全问题突出，在开发流程中集成静态代码测试工具不但可以降低软件中的安全隐患，还能提高代码规范性和安全性，便于后期维护。