产品概述
产品优势
支持50种以上主流开发语言源代码检测,支持windows、linux、mac二进制代码分析,支持容器镜像分析,支持固件分析。
支持针对源代码、二进制代码、配置信息,从包管理器配置、代码特征规则、代码文件溯源指纹、代码函数溯源指纹等维度,进行组件级、文件级、函数级粒度的代码检测分析。
除了能检测出的组件版本成分、已知漏洞、许可证、敏感信息等信息之外,还提供对报告代码漏洞的跨层级可达性分析与定位,以及开源许可兼容性冲突,精准提供漏洞修复方案和许可合规性问题规避建议,另外,能够提供代码容量、代码文件、代码行的自主率分析结果详情报告。
知识库收录了20+个组件来源的800w+组件项目和8000w+组件版本数据,10+个漏洞来源的80w+漏洞,以及4000+开源许可协议数据(其中包括SPDX常用开源许可协议500+)。
支持.java、.cpp、.go等100种+源代码后缀,支持pe(dll、sys、exe等)、elf(so等)、macho、class、pyc等二进制格式,支持Microsoft Windows Installer(exe)、InstallShield(MSI)、rpm、deb、whl、.cab、.dmg、.ipa等安装包格式,支持zip、gzip、bz2、xz、7z、tar、rar、zst、Z、lz、jar、war、apk、cpio等压缩包和归档包格式,支持tar、img、iso、ext4等容器/映像格式,支持patool、SquashFS、UEFI、JFFS2等固件系统格式。
产品功能
依赖成分分析
Composer、Yarn、Bower、Conda、Sbt、NuGet、Paket等40多种包管理器的依赖组件成分识别,可识别第三方开源组件、安全漏洞、许可合规风险,支持依赖关系分析,可对接Git、SVN等代码仓库,支持SBOM清单导出。
二进制成分分析
支持PE、ELF、MachO、Class等多种格式的二进制成分识别,可识别二进制代码中的第三方组件成分以及其已知安全漏洞和许可合规风险,支持无法获取源码场景下的二进制代码成分分析。
敏感信息识别
检测识别代码中可能泄露的敏感信息或者隐私信息,包括: IP/MAC地址、域名URL、邮箱地址、账号密码信息、加密算法、个人证件信息、证书文件、数据库文件、代码仓库隐藏文件、缓存文件、shell脚本、其他通用配置文件、敏感关键词等。
二进制CWE检测
针对PE、ELF等格式二进制文件进行CWE静态特征匹配分析,能够展示检出CWE脆弱函数的sink点和数据依赖图,提供内置CWE特征库,目前支持检测的CWE类型包括但不限于CWE-134(未受控的外部字符串格式化)、CWE-120(缓冲区溢出)、 CWE787(越界写入)、CWE-125(越界读取)、CWE- 190(整数溢出)、CWE-78(OS命令注入)等,支持基于编辑接口进行新的CWE类型特征扩展。
补丁比对
支持针对PE、ELF、MachO二进制文件的函数级补丁比对分析,支持10种函数匹配类型(如函数代码完全相同、函数名相同且函数代码相似、函数特征序列相同、函数调用序列相同、函数名相同等),支持展示函数名、函数地址、匹配类型、相似度、函数汇编代码diff、函数控制流图diff、函数调用关系diff等结果详情,具备一定跨指令架构和跨编译选项比对能力。
漏洞可达分析
具备Java源代码漏洞可达性能力,能够进行漏洞是否可达分析、查看检测漏洞的可达性状态、展示漏洞函数可达调用链路信息。能够降低SCA漏洞误报过高的情况,减小需要修复漏洞范围,降低人工修复成本,为研发人员提供漏洞修复依据。