如果要选择一款企业级静态源代码安全扫描工具,那么Gartner 2021应用程序安全测试 (AST) 魔力象限,就可以给我们在产品选型提供很重要的参考。
本文整理的是一份商业静态源代码分析工具的清单,收集国内外主流的SAST工具,以了解产品的方向和动态。
1、Fortify Static Code Analyzer
一款功能全面的源代码安全扫描工具,自动静态代码分析可帮助开发人员消除漏洞,并构建安全的软件。
官网地址:
代码语言:javascript复制https://www.microfocus.com/zh-cn/products/static-code-analysis-sast/overview2、Veracode
通过在一个解决方案中结合五种应用程序安全分析类型来简化 AppSec 程序,并集成到开发管道中。通过全面的分析,保障应用程序的安全。
官网地址:
代码语言:javascript复制https://www.veracode.com/3、checkmax
Checkmarx提供了一个全面的白盒代码安全审计解决方案,帮助企业在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞,帮助企业以低成本控制应用程序安全风险。
官网地址:
代码语言:javascript复制https://www.checkmarx.com/4、Coverity
一款快速、准确且高度可扩展的静态分析 (SAST) 解决方案,可帮助开发和安全团队在软件开发生命周期 (SDLC) 的早期解决安全和质量缺陷,跟踪和管理整个应用组合的风险,并确保符合安全和编码标准。
官网地址:
代码语言:javascript复制https://www.synopsys.com/zh-cn/software-integrity/security-testing/static-analysis-sast.html5、HCL AppScan
静态应用程序安全测试 (SAST) 解决方案,有助于在开发生命周期的早期识别漏洞,了解其来源和潜在影响并修复问题。
官网地址:
代码语言:javascript复制https://www.hcltechsw.com/products/appscan6、腾讯 xcheck
Xcheck是腾讯自研的静态应用安全测试(SAST,Static application security testing)工具。现已支持Python、NodeJS、PHP、Java 、Go五中语言的代码安全检测。
7、奇安信代码卫士
一款静态应用程序安全测试系统,该系统提供了一套企业级源代码缺陷分析、源代码缺陷审计、源代码缺陷修复跟踪的解决方案。
官网地址:
代码语言:javascript复制https://www.qianxin.com/product/detail/pid/148、DMSCA
企业级静态源代码扫描分析服务平台(英文简称:DMSCA)是一个独特的源代码安全漏洞、质量缺陷和逻辑缺陷扫描分析服务平台。
官网地址:
代码语言:javascript复制http://www.dumasecurity.com/goods.html9、Wukong(悟空)
一款静态代码分析工具,为客户在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。
官网地址:
代码语言:javascript复制https://www.woocoom.com/
