SAST解決了什么問題?

使用SAST進行檢測發(fā)生在軟件開發(fā)生命周期 ( SDLC ) 的早期，因為它不需要運行應(yīng)用程序并且可以在不執(zhí)行代碼的情況下發(fā)揮作用。它可以幫助開發(fā)人員在開發(fā)的初始階段識別漏洞，而不會破壞已有的構(gòu)建或?qū)⒙┒催z留到應(yīng)用程序的最終版本。這可以防止在上線前的關(guān)鍵時刻發(fā)現(xiàn)安全相關(guān)的問題。

SAST工具的一個關(guān)鍵優(yōu)勢是面對所有源碼。此外，它們比人工執(zhí)行的手動安全代碼審查要快得多。SAST工具可以識別關(guān)鍵漏洞，例如緩沖區(qū)溢出、SQL注入、跨站點腳本等。因此，將靜態(tài)分析集成到SDLC中可以有效提高開發(fā)代碼的整體質(zhì)量。

開發(fā)人員可以根據(jù)需要使用SAST工具定制報告，有助于組織根據(jù)報告中的問題進行及時修復(fù)，提高應(yīng)用程序的安全性。

中科天齊的WuKong(悟空)產(chǎn)品是一款國產(chǎn)信創(chuàng)靜態(tài)代碼安全測試工具，采用自主專利技術(shù)的程序分析引擎，多種創(chuàng)新性的靜態(tài)分析技術(shù)，結(jié)合深度學(xué)習(xí)和人工智能等多種方法，準(zhǔn)確發(fā)掘深層次安全漏洞;通過先進的程序切片技術(shù)提高測試效率;結(jié)合分布式系統(tǒng)運行時日志信息指導(dǎo)安全測試，有效檢測到云計算分布式系統(tǒng)中大量未知錯誤。

支持C、C++、C#、JAVA、Python、PHP、JSP、JavaScript、HTML、Go、XML 等主流程序開發(fā)語言。

可以檢測運行時缺陷、安全漏洞及編碼標(biāo)準(zhǔn)規(guī)范。支持國家推薦標(biāo)準(zhǔn) GB/T 34943、 GB/T 34944、GB/T 34946、國軍標(biāo) GJB 8114、行業(yè)標(biāo)準(zhǔn) SJT 11683、CWE Top25、OWASP Top10等，可根據(jù)需求進行定制化處理。

兼容麒麟、鯤鵬等多種國產(chǎn)化環(huán)境，幫助用戶提升抵御網(wǎng)絡(luò)攻擊、防止數(shù)據(jù)泄露等安全問題的能力。

Wukong可直接整合到客戶的開發(fā)流程中，與客戶的代碼管理倉庫(Git、SVN 等)，缺陷管理系統(tǒng)(Jira、禪道、Bugzilla 等)進行對接，在不增加研發(fā)成本的前提下幫助開發(fā)人員減少交付不安全代碼的風(fēng)險。