产品功能

▶ 自适应扫描：多种技术组合，快速识别关键应用程序的最大风险，找到最相关的结果

▶ 定制化扫描：提供定制化的扫描选项，以适应不同的开发环境和安全要求，支持从源代码仓库直接拉取代码进行扫描

▶ 实时扫描和更新扫描：既可以在代码编写时进行实时扫描，提供即时的安全反馈；也可以仅对更改的代码文件进行扫描，避免重复扫描整个应用程序

▶ 减少误报率：能够通过上下文感知技术减少误报，与同类产品相比减少80% 误报

▶ 开发集成：将Checode SAST集成到CI/CD流程中，支持自动化扫描和命令行扫描，以及与研发质量跟踪系统集成，无缝融入开发、编译、单元测试、集成测试和部署流程

▶ 自定义规则：提供面向对象语言的自定义分析能力，允许用户自行扩展扫描引擎功能

▶ 报告和UI：提供全面的应用程序安全状况视图，帮助团队快速识别异常并有效分析漏洞；自动生成包含详细问题代码说明、缺陷/漏洞规则详情以及修复示例的检测报告，协助快速修复问题

▶ 最佳修复位置：帮助开发者定位并修复单个代码行，以解决多个相关的安全漏洞

▶ AI安全助手：提供漏洞修复的建议和指导，帮助开发者理解并解决安全问题

▶ AI查询构建器：利用生成式AI技术优化查询，提高扫描的准确性和覆盖范围

▶ 优先级排序：通过准确的结果帮助开发者优先处理最重要的安全发现 ▶ 符合安全标准：遵循OWASP TOP 10、OWASP Mobile Top 10、CWE、SANS 25、GB/T 34943/34944、34946等安全规则标准

主要技术指标

● 支持语言：支持超过25种编程语言，45种开发框架

● 扫描速度：每小时可扫描20万行代码

● 集成开发环境：与IDE和开发工具无缝集成，扫描本地代码或者直接扫描源代码仓库

● 部署方式：支持本地部署和云上Docker部署

● 用户界面：中文界面，简单易用，新手上手可用

应用场景

● 企业级软件开发：研发团队阶段利用Checode SAST识别和修复安全漏洞。

● 软件安全管理： 软件质量和安全管理团队利用Checode SAST定期对产品代码进行安全检查。

● 软件项目测评：软件测评机构利用Checode SAST对即将交付的软件项目进行质量检测和漏洞安全评估，实施代码审查，实施合规性检查等。

● 软件项目验收：用户利用Checode SAST对交付的产品代码进行质量检查和产品验收。

工作原理

       Checode SAST基于自动化的源代码分析技术，以识别和预防潜在的安全漏洞。它具有以下关键技术：

● 静态分析：通过分析源代码，寻找可能导致安全漏洞的模式和构造。

● 规则和查询：基于常见的安全漏洞和弱点预定义的规则如OWASP Top 10，内置引擎根据规则找出与已知的漏洞模式相匹配的代码。

● 模式识别：工具能识别代码中存在安全风险的模式，例如不安全的API调用、缓冲区溢出、SQL注入漏洞、跨站脚本（XSS）等。

● 降低误报：使用先进的算法和启发式分析，减少误报。

● 自适应漏洞扫描：能够快速扫描以找到最相关的结果，并对关键应用程序进行深度分析，以识别最大风险的漏洞。

● AI技术应用：利用人工智能（AI）技术改进查询构建，提高结果的准确性和相关性。

工作原理

       Checode SAST基于自动化的源代码分析技术，以识别和预防潜在的安全漏洞。它具有以下关键技术：

● 静态分析：通过分析源代码，寻找可能导致安全漏洞的模式和构造。 规则和查询：使用一套预定义的规则和查询，这些规则基于常见的安全漏洞和弱点，如OWASP Top 10。内置引擎根据规则会检查出与已知的漏洞模式相匹配的代码。 模式识别：工具会识别代码中的模式，这些模式可能指示存在安全风险，例如不安全的API调用、缓冲区溢出、SQL注入漏洞、跨站脚本（XSS）等。 降低误报：通过使用先进的算法和启发式分析，从而减少误报的数量。 自适应漏洞扫描：能够快速扫描以找到最相关的结果，同时对关键应用程序进行深度分析，以识别最大风险的漏洞。 AI技术应用：利用人工智能（AI）技术改进查询构建，提高结果的准确性和相关性。