靜態應用檢測系統Xcheck產品

 提示:點擊圖片可以放大

d1a593825bbe211a6ec03b9457be6c31 (1).png


          應用安全開發(Application Security Development,下文中也叫 Xcheck)為您提供優質的代碼分析服務。Xcheck 憑借優秀的算法和工程實現,能在極低的誤報率和漏報率前提下,以極快的速度發現代碼中存在的安全漏洞。Xcheck 采用私有化部署的模式,所以產品使用的整個生命周期,源碼都不會流出公司網絡,杜絕源碼泄露風險。

       “缺陷是天生的,漏洞是必然的”。統計數據表明,程序員每寫1000行代碼,就會出現1個邏輯性缺陷,這是無可避免的概率問題,解決方法之一就是對代碼進行檢測。


        作為直接對源代碼進行檢查的白盒檢測產品,Xcheck可作為獨立的代碼審計平臺,用戶可以通過 Web 頁面來使用;也可以可以通過API、命令行工具進行調用,Xcheck支持包括代碼倉庫以及缺陷管理系統的對接,提供常見CI/CD平臺插件、本地 IDE 插件。目前已深度支持GitLab、JenKins、CODING、藍鯨等DevOps平臺。


        Xcheck依托污點追蹤引擎、規則匹配引擎雙引擎架構,速度快、誤報低,非常適合在DevOps流水線場景集成使用,且支持多種語言種類,其靈活拓展能力便于用戶自定義運營規則,覆蓋風險類型包括SQL注入、命令注入等符合污點傳播模型的安全風險,以及錯誤配置類、硬編碼類、敏感信息泄露類多種安全風險類型,可滿足用戶不同場景需求。


        在技術創新方面,Xcheck擁有一套自研的代碼分析模糊解析器,無需依賴編譯,便可將代碼快速轉換成抽象語法樹,解析速度大幅提升,同時,其精細化模型核心檢測算法已經過每年數百萬次任務的打磨,可準確找到污點的傳播路徑。


        在產品核心優勢方面,Xcheck可精確識別各種語言特性,掃描速度達到每秒千行到萬行,是同類產品的幾十倍;同時檢出高、誤報低,針對符合污點傳播模型的漏洞,其誤報率低于10%;此外靈活強大的擴展易編寫、可調試,可批量降低漏報誤報。


產品特性

低誤報

Xcheck 能夠精確理解不同語言的語法特性,從而基本解決了因為不理解代碼而造成的誤報。此外,Xcheck 能夠識別用戶自定義的安全防護措施,從而進一步降低誤報。


低漏報

Xcheck 已經針對主流框架和風險函數內置了豐富的規則;另外,針對未支持的框架和函數,還可以通過自定義規則補充對應的識別能力。


速度快

Xcheck 擁有一套優秀的代碼分析算法,在保證精準分析的前提下,解決了傳統靜態分析工具效率低的問題。


應用場景

代替人工,自動分析代碼中存在的安全漏洞

應用場景1.png

作為代碼安全質量檢測門禁接入流水線,保證每次發布的代碼沒有已知類型的安全漏洞

應用場景2.png