北大库博软件源代码静态分析工具(英文简称CoBOT SAST),应用多种国际先进代码分析、深度学习技术,研发的源代码检测系统,面向组织的源代码检测需求,在不改变组织现有开发、测试流程的前提下,与源代码管理系统(Git、SVN等)、缺陷管理系统(如Jira、Bugzilla、禅道等)、持续集成工具(如Jenkins、禅道)无缝对接,将源代码检测融入企业的研发流程,实现了源代码编码规则检测、运行时缺陷检测、安全漏洞检测、度量统计、克隆检测、逆向架构图自动生成,并提供了检测器自主研发接口等功能,帮助组织快速构建源代码安全自主检测体系和能力。
2015年通过CWE符合性认证,成为中国首家通过该认证的软件安全检测工具,打破了国外产品在软件缺陷检测和安全漏洞分析领域的垄断地位。带动了国内软件代码安全检测行业的发展。
库博库博软件源代码静态分析工具部分主要技术指标如下:
| 项目 |
支持情况 |
| 支持语言 |
支持 C/C++、Java、Go 等约十余种主流开发语言 |
| 安全漏洞 |
OWASP TOP 10、CWE/SANS TOP 25等 |
| 缺陷 |
CWE(Common Weakness Enumeration)200余种缺陷类型 |
| 编码规范 |
MISRA 2004、MISRA 2008、MISRA 2012、GJB 5369、GJB 8114等。 尤其支持规则集定制。 |
| 支持的编译器 |
ARM C/C++、Borland C++、GNU GCC C++、Intel C++、Keil compilers、SUN CC 等几十种编译器 |
| 兼容平台 |
支持 Windows、Linux、中标麒麟 等多种主流通用操作系统开发的源代码的检测 |
| Bug 管理系统 |
Bugzilla、Jira、TFS、禅道 |
| IDE插件 |
Eclipse、VsCode等 |
| 扩展能力 |
自定义检测规则、检测报告 |
| 检测效率 |
平均 100 万行/小时 |
1、代码缺陷检测
CoBOT SAST可以在不运行程序的情况下全面扫描代码,快速报告软件中的漏洞,包括边界条件复杂的漏洞,是对动态测试的有效补充。在缺陷检测方面支持 C/C++、Java、Android、PHP、JSP、HTML、C#、Swift、JavaScript、Python、Kotlin、Scala、Go等约10余种主流开发语言的软件源代码的缺陷检测。可检测的缺陷种类包括缓冲区溢出、SQL注入、跨站脚本等 74 个大类,2000 多个小类。兼容 CWE(Common Weakness Enumeration)、OWASP TOP 10、CWE/SANS TOP 25、ISO 17961、CERT Java、MISRA系列、GB/T系列、GJB系列、SJ/T系列等多种国际和国内标准。
可以对项目直接检测,也可以创建计划任务,对项目定时检测。当多个项目同时检测时,项目可以进行排队检测。
可以使用2000多种检测项对源代码进行检测,并得出结果,也也可以导出PDF、Word、Excel等格式的报告,检测结果列表如下如所示:
2、源代码度量
为了提高代码的可维护性,需要了解软件在代码行、圈复杂度、扇入扇出度等各个角度的度量指标。CoBOT SAST支持从项目级、文件级、函数级等级别度量30余种,并将未达标的文件和函数分配给相应的开发人员进行修改。源代码度量如下图所示:
3、源代码克隆分析
CoBOT SAST支持代码克隆分析找出功能与源代码相同、但是进行了修改的代码。由于所使用的第三方软件或者企业内部代码在复用时可能会进行修改,需要使用克隆检测,发现该段代码的来源,并发现因代码克隆带来的软件不一致。CoBOT SAST的克隆分析可以应用在代码抄袭检测、同源漏洞检测等方面。克隆分析结果如下图所示:
4、源代码分析图形化展示
CoBOT SAST支持根据源代码反向生成程序架构图如:函数控制流图、文件函数调用图、项目函数调用图、继承关系图、UML 类图等。提供包括 PNG、SVG 等格式导出。源代码分析图形如下图所示:
5、绩效统计
CoBOT SAST支持通过连接SVN、Git等代码管理系统中获取提交记录,结合源代码缺陷检测、源代码度量、源代码克隆分析,分析统计开发人员和项目的软件质量((问题的等级和个数)、工作难易度 (可靠性、可维护性、复杂度)、工作效率/能力 (代码提交量、问题的修复量和修复率、问题密度)等信息,为开发人员(Key Performance Index)考核提供重要的依据。绩效统计如下图所示:
6、定时检测
CoBOT SAST支持本地源代码检测的同时也可支持从 SVN、 Git 等代码管理系统中获取源代码进行检测, 支持定时自动检测, 用户可将CoBOT SAST与代码库进行关联,配置好定时检测计划,按照任务设置定期自动获取代码库中的源代码进行检测,检测后的结果可以根据根据代码库提交记录自动分配给相关负责人,并且可以通过邮箱发送提醒相关责任人。
7、产品优势
运用了多种先进的静态分析技术保证了分析的效率、精度。结合了深度学习的模式挖掘技术,保证了代码分析引擎增加了缺陷模式,保证了分析的广度。包含了编码规则、缺陷以及漏洞三种类型,上千种类型的检测器,完成了多种类型的检测,集多个工具特点于一身,为企业降低了成本。提供了工具的分析引擎接口,用户可以根据自己缺陷类型进行定制研发。