OWASP中国发布静态源代码安全分析工具测评基准V2.0
OWASP 中国发布静态源代码安全分析工具测评基准V2.0。随着数字技术的进步,业务以及研发对于DevSecOps应用和落地的需要,已有的静态源代码安全扫描工具测评基准的内容已经无法满足当今行业内对于此类工具或产品的要求,OWASP 中国针对目前行业内的相关调研报告以及行业共识,对于静态源代码安全扫描工具测评基准进行了升级。
结合过去几年行业内对于静态源代码安全扫描工具的要求,此次升级的内容重新构建了静态源代码安全扫描工具的测评范围,以及每个范围的测评基准线或应当具备的功能点,比如代码扫描速率、漏洞误报率以及漏洞漏报率等等,对于产品测评基准有了更加明显和规范的参考依据,一方面为后续厂商产品完善指明方向,另一方面为甲方采购同类产品时提供采购参考。
测评内容
中科天齐软件源代码安全缺陷检测平台(WuKong)是一款B/S 架构的国产信创静态软件代码安全测试工具,能够对软件源代码进行全方位的安全检测和安全分析。可检测代码运行时缺陷、安全漏洞及编码标准规范。可应用于软件生命周期的各个阶段,包括:开发人员编码阶段、代码集成阶段、系统发布阶段和系统上线之后。
WuKong兼容麒麟、鲲鹏等多种国产化环境,支持C、C++、C#、JAVA、Python、PHP、JSP、JavaScript、HTML、Go、XML 等主流程序开发语言。支持国家推荐标准 GB/T 34943、 GB/T 34944、GB/T 34946、国军标 GJB 8114-2013、5369,行业标准 SJT 11682、SJT 11683,国际规范CWE Top25、OWASP Top10等,可根据需求进行定制化处理。可直接整合到客户的开发流程中,与客户的代码管理仓库,缺陷管理系统进行对接,在不增加研发成本的前提下帮助开发人员降低交付不安全代码的风险。