AI 大模型驱动,实现漏洞精准定位与审计成本双优化。
白皮书

产品概述

CodeSense-StarEye 星眸,专为代码安全审计场景设计研发,支持分析C、C++、Java、Python 等语言编写的工程源代码,精准检测代码中潜在的安全漏洞,全面支持主流代码安全审计规范。该套件不仅具备传统代码安全审计工具的检测能力,而且通过接入AI大模型,实现逻辑漏洞挖掘、智能漏洞误报评定、智能漏洞解释、智能漏洞正反例生成,既可显著提升报准率,又可大幅降低使用成本。

产品优势

主流代码安全审计规则全面覆盖

支持对源代码进行安全分析,按照安全功能缺陷、代码实现安全缺陷、资源使用安全缺陷、环境安全缺陷和编程规范五大类型展示分析结果,并支持编程规范符合性检查,涵盖GB/T 34943-2017《C/C++ 语言源代码漏洞测试规范》、GB/T 34944-2017《Java 语言源代码漏洞测试规范》、GB/T 34946-2017《C# 语言源代码漏洞测试规范》、CWE、CERT、OWASP。

AI 驱动逻辑漏洞挖掘

结合大模型自然语言语义理解与静态分析上下文建模,完美解决传统SAST工具难以准确检测逻辑漏洞的问题,同时解决大模型应用于逻辑漏洞挖掘时,因需要完整逻辑漏洞链代码导致token消耗巨大、LLM随机性等问题。

AI赋能高效审计

可接入AI大模型,深度适配DTCoder。可自动对问题进行误报评定,预计可降低审计工作量30-60%。

精准深度检测

基于值流图分析技术,支持跨多层函数的深度缺陷检测,引入多种效率优化和并行分析技术,最终实现效率、深度、精度的有效协调。

高效分析

最快分析速度可达50,000行/分,十万级源代码可在3分钟内完成检测,百万级代码可在30分钟内完成检测。在编程语言不可编译前提下,亦能进行分析。

荣获多项荣誉资质认证

泰尔实验室(中国信通院)静态应用安全测试(SAST)系统检验认证、军工工业软件自主可控目录、工信部首届“鼎信杯”应用创新软件、CWE兼容性认证、银河麒麟兼容性认证、达梦V8兼容性认证。

产品功能

逻辑漏洞挖掘

支持挖掘关键逻辑漏洞,包含越权类漏洞、注入类漏洞、资源消耗类漏洞、SSRF漏洞和反序列化漏洞。

代码安全态势感知

为项目管理人员提供代码安全综合评估,展示版本迭代、代码漏洞数量与密度趋势,全面展示安全状态。

全局漏洞污染路径图

为漏洞提供全局污染路径图和漏洞触发关键点,协助用户快速定位修复该类型漏洞的最关键函数/代码块。

智慧减负

支持将之前的代码审计结果链接到后续版本进行趋势分析,方便相关人员在版本迭代时重点关注新增问题和遗留问题,大幅度减少工作量。

团队化管理安全审计

支持团队成员协同进行代码安全审计,提供项目级的细粒度权限控制,仅允许拥有权限的用户查看项目源码和审计结果。

全生命周期集成

支持与软件开发全生命周期各种工具集成,包括SCM工具:Git、SVN;持续集成环境:Jenkins、GitLab-CI;可实时监控软件开发过程,为代码安全审计提供必要数据。

源代码漏洞特征自定义

提供基于函数签名的源代码漏洞特征黑名单(Source点、Sink点)和漏洞特征白名单(Sanitize点)自定义功能,用户能够基于业务需求将自定义的功能封装函数、安全处理函数录入CodeSense-StarEye,提升分析结果准确度。

服 务 热 线