Fortify 是一款由 Hewlett Packard Enterprise (HPE) 公司开发的源代码检测工具,Fortify可以检测代码中的安全漏洞和缺陷共900多种,它通过对应用程序的源代码进行静态分析,自动检测安全性漏洞及缺陷。Fortify支持多种编程语言,如 Java、C#、C/C++、Python、Ruby 等20多种语言。在使用上,Fortify的配置会非常复杂,在使用该工具之前和创建检测项目的时候,都需要对许多配置选项进行设置。此外Fortify检测结果中误报很多,这需要用户花大量时间和精力对报出的误报进行分析和确认。
图 1 Fortify创建检测项目
图 2 Fortify查看检测结果
Checkmarx由以色列公司开发,使用静态代码分析技术来检测应用程序中的安全漏洞。Checkmarx有一个包含数百种漏洞的库。Checkmarx可以自动识别并扫描不同的编程语言,包括Java、C#、C++、Python、PHP等20种语言。Checkmarx漏洞库相对较小,这可能会导致无法检测到用户关注的特定类型的漏洞。Checkmarx的性能会受到扫描范围和规模的限制,如果扫描的代码库比较大,需要花费大量时间和计算资源才能完成扫描。
图 3 Checkmarx创建检测项目
图 4 Checkmarx查看检测结果
库博软件源代码静态分析工具(简称CoBOT-SAST)是由北京大学联合北京北大软件工程股份有限公司研发的一款源代码检测工具,应用多种国际先进代码分析实现了源代码编码规则检测、运行时缺陷检测、安全漏洞检测、度量统计、克隆检测、逆向架构图自动生成等功能,帮助组织快速构建源代码安全自主检测体系和能力,CoBOT-SAST支持 C/C++、Java、Python、Ruby、Cobol 等20多种语言的检测,库中维护30多套检测规则集,包括注入、资源泄露、缓冲区溢出等共3000多种检测模式,除了Fortify、Checkmarx可以检测的安全漏洞和缺陷之外,CoBOT-SAST还支持编码规则的检测。这些检测模式不断更新,这就保证CoBOT-SAST在检测效率、检测范围和检测性能方面都处于行业领域国内外领先水平,带动国内软件代码安全检测行业的发展。
图 5 库博创建检测项目
图 6 库博查看检测结果
北大库博CoBOT-SAST是国内首家自主可控研发的代码检测工具,首家通过了CWE认证。对比Fortify和Checkmarx等国际一流工具,CoBOT-SAST能更好的支持接口开发,提供的接口如:新建项目、执行检测项目、获取项目检测结果、导出检测结果报告等数十种接口,方便与用户内部软件环境的集成。为了满足用户进一步的需求,库博研发团队还提供对CoBOT-SAST的定制化开发,包括检测项的定制、度量项的定制、逆向工程图的定制、检测报告的定制以及用户所需要的其他功能的定制。除此之外,库博团队通过对科研项目需求的全面分析和技术评估,基于对行业标准和最新技术的深刻理解,准确预估开发所需的资源、成本和时间,为客户提供合理的报价方案,并确保报价的可靠性和准确性。
北大库博工具团队近十年来,与国内众多重要研究机构、央国企、事业单位等,联合申报、攻关国家重要部委科研课题,取得了丰硕的科研成果。同时,支持多个行业重要软件测试工作,就行业领域合作展开科研攻关,共同发表顶会文章百余篇,成功申报国家国际奖项数十项,培养领域专业人才博士硕士数百人等。