CodeSense是新一代的软件源代码缺陷深度分析平台。
包含多个自研的代码分析引擎,同时提供开放的方案,支持多种商业/开源分析引擎集成并对结果进行集中展示,与目前市面的国外商业工具对比,在语言种类、功能、标准、缺陷分类数量上,已达到一致。额外针对国内市场环境,CodeSense提供了大量适用于中国用户使用场景易用的功能。
http://www.valiantsec.cn/product/?id=77
CodeSense是结合清华大学与国防科技大学的专家团队对代码静态分析技术的深度理论研究,经过长期软件工程实践研发而成,可以支持10余种编程语言和开发框架,并且可在多种国产平台进行部署。
产品功能
采用业界先进的值流图分析技术,能够实现跨程序/跨文件的上下文敏感分析与对象敏感分析,精准的检测软件安全漏洞与质量缺陷,结合独有的智慧减负与黑白名单技术,服务于安全部门或研发团队。
· 支持主流软/硬件环境
支持Windows、Linux、银河麒麟等操作系统的部署运行,支持对基于SpringMVC、SpringBoot、SSM、Struts2、ThinkPHP、Flask等多种常见编程语言框架开发的软件进行源代码静态分析,支持的主流开发语言包括:C/C ++、C #、Java、P HP、Python、JavaScript、XML、Go、Scala、Kotlin、Ruby等。
为项目管理人员提供代码安全与质量综合评估平台,全面展示安全状态,减少软件安全与质量短板。
安全漏洞与质量缺陷检测能力可完全覆盖CWE 7PK、OWASP TOP 10、GJB-8114、GJB-5369、MISRA等行业标准与规范,能够有效的检出程序中潜在的内存安全类、运行时异常、注入类、跨站类、性能问题等安全漏洞和质量缺陷。
CodeSense为缺陷与漏洞提供全局数据流图与最佳修复点建议,协助开发人员快速定位修复该类型缺陷的最关键函数/代码块。
支持与软件开发生命周期中的各种工具进行集成,包括SCM工具: Git、SVN;构建工具如CMake、Maven;持续集成环境:Jenkins、GitLab-CI;缺陷跟踪系统:禅道;提供REST API接口,可无缝集成到DevOps流程中。
· 精准分析能力
可以针对同一代码的不同版本进行增量分析,可将之前的代码审计结果链接到后续版本中进行趋势分析,方便相关人员在版本迭代时重点关注新增问题和遗留问题,极大地减少工作量,提高研发效率。
提供基于函数签名的黑名单函数自定义(Source点、Sink点)和白名单函数(Sanitize点)功能,用户能够基于业务需求将自定义的功能封装函数、安全处理函数录入CodeSense,提升分析结果的准确度。
主要产品指标以及优势
荣获奖项
NASAC2018代码漏洞检测工具一等奖
NASAC2018整数缺陷自动修复工具优秀奖
NASAC2018 API分析工具三等奖
工信部首届“鼎信杯”应用创新软件
产品优势
· 提高代码安全
能够发现软件源代码中潜在的安全风险并提供修复建议,同时提供主流IDE插件,支持RESTFULAPI,易于嵌入DevOps流程。
· 节省代码审计时间
支持增量分析并提供对比视图,支持审计信息导出携带,软件版本迭代只需关注新增问题,大幅度节省代码审计的人力与时间成本。
· 完全自主可控
核心代码均为自主研发,拥有完全自主知识产权,支持多种操作系统,已经通过银河麒麟飞腾OS系统兼容性认证。
· 提高代码质量与软件合规
检测引擎已经通过CWE认证,全面覆盖CWE安全缺陷和质量缺陷,同时也支持主流行业编程规范的符合性检查,如:GJB5369-2005、GJB 8114-2013、MISRA-C 2012、MISRA-C++ 2008,并且支持常见代码复杂性度量指标。
· 无惧信息泄露
提供完备的用户角色访问权限控制功能,支持项目级的细粒度权限控制,仅允许拥有权限的用户查看项目源码和分析结果。
产品指标
· 支持缺陷(违规)类型1800余条,其中,CWE 7PK覆盖率80%以上,OWASP TOP 10覆盖率100%,GJB/8114-2013、GJB/5369-2005 覆盖率95%, MISRA C-2004、MISRA C-2012、MISRA C++-2018 覆盖率80%。
· 缺陷类分析误报率低于35%(符合:JCTJ 009—2015 《公安部信息安全技术软件源代码安全缺陷检测产品检测条件》的性能要求)。
· 支持分布式方式部署分析引擎,可支持100个检测任务并发分析。
· 支持docx、pdf、xlsx、xml报告模式,支持一键生成测试报告。
· 缺陷类分析漏报率<10 %,代码规范类问题分析漏报率<5%。
· 最快分析速度可达300行/秒,十万级源代码可在6分钟内完成检测,百万级源代码可在4小时内完成检测。
· 支持私有云部署,普通PC即可满足50人同时使用。
如何在buildr项目中使用Ruby?我在很多不同的项目中使用过Ruby、JRuby、Java和Clojure。我目前正在使用我的标准Ruby开发一个模拟应用程序,我想尝试使用Clojure后端(我确实喜欢功能代码)以及JRubygui和测试套件。我还可以看到在未来的不同项目中使用Scala作为后端。我想我要为我的项目尝试一下buildr(http://buildr.apache.org/),但我注意到buildr似乎没有设置为在项目中使用JRuby代码本身!这看起来有点傻,因为该工具旨在统一通用的JVM语言并且是在ruby中构建的。除了将输出的jar包含在一个独特的、仅限ruby
在rails源中:https://github.com/rails/rails/blob/master/activesupport/lib/active_support/lazy_load_hooks.rb可以看到以下内容@load_hooks=Hash.new{|h,k|h[k]=[]}在IRB中,它只是初始化一个空哈希。和做有什么区别@load_hooks=Hash.new 最佳答案 查看rubydocumentationforHashnew→new_hashclicktotogglesourcenew(obj)→new_has
我的主要目标是能够完全理解我正在使用的库/gem。我尝试在Github上从头到尾阅读源代码,但这真的很难。我认为更有趣、更温和的踏脚石就是在使用时阅读每个库/gem方法的源代码。例如,我想知道RubyonRails中的redirect_to方法是如何工作的:如何查找redirect_to方法的源代码?我知道在pry中我可以执行类似show-methodmethod的操作,但我如何才能对Rails框架中的方法执行此操作?您对我如何更好地理解Gem及其API有什么建议吗?仅仅阅读源代码似乎真的很难,尤其是对于框架。谢谢! 最佳答案 Ru
我的假设是moduleAmoduleBendend和moduleA::Bend是一样的。我能够从thisblog找到解决方案,thisSOthread和andthisSOthread.为什么以及什么时候应该更喜欢紧凑语法A::B而不是另一个,因为它显然有一个缺点?我有一种直觉,它可能与性能有关,因为在更多命名空间中查找常量需要更多计算。但是我无法通过对普通类进行基准测试来验证这一点。 最佳答案 这两种写作方法经常被混淆。首先要说的是,据我所知,没有可衡量的性能差异。(在下面的书面示例中不断查找)最明显的区别,可能也是最著名的,是你的
几个月前,我读了一篇关于rubygem的博客文章,它可以通过阅读代码本身来确定编程语言。对于我的生活,我不记得博客或gem的名称。谷歌搜索“ruby编程语言猜测”及其变体也无济于事。有人碰巧知道相关gem的名称吗? 最佳答案 是这个吗:http://github.com/chrislo/sourceclassifier/tree/master 关于ruby-寻找通过阅读代码确定编程语言的rubygem?,我们在StackOverflow上找到一个类似的问题:
我目前正在使用以下方法获取页面的源代码:Net::HTTP.get(URI.parse(page.url))我还想获取HTTP状态,而无需发出第二个请求。有没有办法用另一种方法做到这一点?我一直在查看文档,但似乎找不到我要找的东西。 最佳答案 在我看来,除非您需要一些真正的低级访问或控制,否则最好使用Ruby的内置Open::URI模块:require'open-uri'io=open('http://www.example.org/')#=>#body=io.read[0,50]#=>"["200","OK"]io.base_ur
前言作为一名程序员,自己的本质工作就是做程序开发,那么程序开发的时候最直接的体现就是代码,检验一个程序员技术水平的一个核心环节就是开发时候的代码能力。众所周知,程序开发的水平提升是一个循序渐进的过程,每一位程序员都是从“菜鸟”变成“大神”的,所以程序员在程序开发过程中的代码能力也是根据平时开发中的业务实践来积累和提升的。提高代码能力核心要素程序员要想提高自身代码能力,尤其是新晋程序员的代码能力有很大的提升空间的时候,需要针对性的去提高自己的代码能力。提高代码能力其实有几个比较关键的点,只要把握住这些方面,就能很好的、快速的提高自己的一部分代码能力。1、多去阅读开源项目,如有机会可以亲自参与开源
嗨~大家好,这里是可莉!今天给大家带来的是7个C语言的经典基础代码~那一起往下看下去把【程序一】打印100到200之间的素数#includeintmain(){ inti; for(i=100;i 【程序二】输出乘法口诀表#includeintmain(){inti;for(i=1;i 【程序三】判断1000年---2000年之间的闰年#includeintmain(){intyear;for(year=1000;year 【程序四】给定两个整形变量的值,将两个值的内容进行交换。这里提供两种方法来进行交换,第一种为创建临时变量来进行交换,第二种是不创建临时变量而直接进行交换。1.创建临时变量来
文章目录git常用命令(简介,详细参数往下看)Git提交代码步骤gitpullgitstatusgitaddgitcommitgitpushgit代码冲突合并问题方法一:放弃本地代码方法二:合并代码常用命令以及详细参数gitadd将文件添加到仓库:gitdiff比较文件异同gitlog查看历史记录gitreset代码回滚版本库相关操作远程仓库相关操作分支相关操作创建分支查看分支:gitbranch合并分支:gitmerge删除分支:gitbranch-ddev查看分支合并图:gitlog–graph–pretty=oneline–abbrev-commit撤消某次提交git用户名密码相关配置g
打印1:defsum(i)i=i+[2]end$x=[1]sum($x)print$x打印12:defsum(i)i.push(2)end$x=[1]sum($x)print$x后者是修改全局变量$x。为什么它在第二个例子中被修改而不是在第一个例子中?类Array的任何方法(不仅是push)都会发生这种情况吗? 最佳答案 变量范围在这里无关紧要。在第一段代码中,您仅使用赋值运算符=为变量i赋值,而在第二段代码中,您正在修改$x(也称为i)使用破坏性方法push。赋值从不修改任何对象。它只是提供一个名称来引用一个对象。方法要么是破坏性
