产品概述
产品优势
支持对源代码进行安全分析,按照安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环境安全缺陷和编程规范五大类型展示分析结果,并支持编程规范符合性检查,涵盖GB/T 34943-2017《C/C++ 语言源代码漏洞测试规范》、GB/T 34944-2017《Java 语言源代码漏洞测试规范》、GB/T 34946-2017《C# 语言源代码漏洞测试规范》、CWE、CERT、OWASP。
结合大模型自然语言语义理解与静态分析上下文建模,完美解决传统SAST工具难以准确检测逻辑漏洞的问题,同时解决大模型应用于逻辑漏洞挖掘时,因需要完整逻辑漏洞链代码导致token消耗巨大、LLM随机性等问题。
可接入AI大模型,深度适配DTCoder。可自动对问题进行误报评定,预计可降低审计工作量30-60%。
基于值流图分析技术,支持跨多层函数的深度缺陷检测,引入多种效率优化和并行分析技术,最终实现效率、深度、精度的有效协调。
最快分析速度可达50,000行/分,十万级源代码可在3分钟内完成检测,百万级代码可在30分钟内完成检测。在编程语言不可编译前提下,亦能进行分析。
泰尔实验室(中国信通院)静态应用安全测试(SAST)系统检验认证、军工工业软件自主可控目录、工信部首届“鼎信杯”应用创新软件、CWE兼容性认证、银河麒麟兼容性认证、达梦V8兼容性认证。
产品功能
逻辑漏洞挖掘
支持挖掘关键逻辑漏洞,包含越权类漏洞、注入类漏洞、资源消耗类漏洞、SSRF漏洞和反序列化漏洞。
代码安全态势感知
为项目管理人员提供代码安全综合评估,展示版本迭代、代码漏洞数量与密度趋势,全面展示安全状态。
全局漏洞污染路径图
为漏洞提供全局污染路径图和漏洞触发关键点,协助用户快速定位修复该类型漏洞的最关键函数/代码块。
智慧减负
支持将之前的代码审计结果链接到后续版本进行趋势分析,方便相关人员在版本迭代时重点关注新增问题和遗留问题,大幅度减少工作量。
团队化管理安全审计
支持团队成员协同进行代码安全审计,提供项目级的细粒度权限控制,仅允许拥有权限的用户查看项目源码和审计结果。
全生命周期集成
支持与软件开发全生命周期各种工具集成,包括SCM工具:Git、SVN;持续集成环境:Jenkins、GitLab-CI;可实时监控软件开发过程,为代码安全审计提供必要数据。
源代码漏洞特征自定义
提供基于函数签名的源代码漏洞特征黑名单(Source点、Sink点)和漏洞特征白名单(Sanitize点)自定义功能,用户能够基于业务需求将自定义的功能封装函数、安全处理函数录入CodeSense-StarEye,提升分析结果准确度。