三款静态源代码安全检测工具比较

源代码安全要靠谁？

1. 概述

随着网络的飞速发展，各种网络应用不断成熟，各种开发技术层出不穷，上网已经成为人们日常生活中的一个重要组成部分。在享受互联网带来的各种方便之处的同时，安全问题也变得越来越重要。黑客、病毒、木马等不断攻击着各种网站，如何保证网站的安全成为一个非常热门的话题。

根据IT研究与顾问咨询公司Gartner统计数据显示，75%的黑客攻击发生在应用层。而由NIST的统计显示92%的漏洞属于应用层而非网络层。因此，应用软件的自身的安全问题是我们信息安全领域最为关心的问题，也是我们面临的一个新的领域，需要我们所有的在应用软件开发和管理的各个层面的成员共同的努力来完成。越来越多的安全产品厂商也已经在考虑关注软件开发的整个流程，将安全检测与监测融入需求分析、概要设计、详细设计、编码、测试等各个阶段以全面的保证应用安全。

对于应用安全性的检测目前大多数是通过测试的方式来实现。测试大体上分为黑盒测试和白盒测试两种。黑盒测试一般使用的是渗透的方法，这种方法仍然带有明显的黑盒测试本身的不足，需要大量的测试用例来进行覆盖，且测试完成后仍无法保证软件是否仍然存在风险。现在白盒测试中源代码扫描越来越成为一种流行的技术，使用源代码扫描产品对软件进行代码扫描，一方面可以找出潜在的风险，从内对软件进行检测，提高代码的安全性，另一方面也可以进一步提高代码的质量。黑盒的渗透测试和白盒的源代码扫描内外结合，可以使得软件的安全性得到很大程度的提高。

源代码分析技术由来已久，Colorado 大学的 Lloyd D. Fosdick 和 Leon J. Osterweil 1976 年的 9 月曾在 ACM Computing Surveys 上发表了著名的 Data Flow Analysis in Software Reliability，其中就提到了数据流分析、状态机系统、边界检测、数据类型验证、控制流分析等技术。随着计算机语言的不断演进，源代码分析的技术也在日趋完善，在不同的细分领域，出现了很多不错的源代码分析产品，如 Klocwork Insight、Rational Software Analyzer 和 Coverity、Parasoft 等公司的产品。而在静态源代码安全分析方面，Fortify 公司和 Ounce Labs 公司的静态代码分析器都是非常不错的产品。对于源代码安全检测领域目前的供应商有很多，这里我们选择其中的三款具有代表性的进行对比，分别是 Fortify公司的Fortify SCA，Security Innovation公司的Checkmarx Suite 和Armorize公司的CodeSecure。

2. 工具介绍

2.1. Fortify SCA(Source Code Analysis)

Fortify Software公司是一家总部位于美国硅谷，致力于提供应用软件安全开发工具和管理方案的厂商。Fortify为应用软件开发组织、安全审计人员和应用安全管理人员提供工具并确立最佳的应用软件安全实践和策略，帮助他们在软件开发生命周期中花最少的时间和成本去识别和修复软件源代码中的安全隐患。 Fortify SCA是Fortify360产品套装中的一部分，它使用fortify公司特有的X-Tier Dataflow™ analysis技术去检测软件安全问题。

优点：目前全球最大静态源代码检测厂商、支持语言最多

缺点：价格昂贵

2.2. Checkmarx CxSuite

Checkmarx是以色列的一家高科技软件公司。它的产品CheckmarxCxSuite专门设计为识别、跟踪和修复软件源代码上的技术和逻辑方面的安全风险。首创了以查询语言定位代码安全问题，其采用独特的词汇分析技术和CxQL专利查询技术来扫描和分析源代码中的安全漏洞和弱点。

优点：利用CxQL查询语言自定义规则

缺点：输出报告不够美观

2.3. Armorize CodeSecure

阿码科技成立于2006年，总部设立于美国加州圣克拉拉市，研发中心位于台湾的南港软件工业园区。阿码科技提供全方位网络安全解决方案，捍卫企业免于受到黑客利用Web 应用程序的漏洞所发动的攻击。阿码科技 CodeSecure可有效地协助企业与开发人员在软件开发过程及项目上线后找出 Web 应用程序风险，并清楚交代风险的来龙去脉 (如何进入程序，如何造成问题) 。CodeSecure内建语法剖析功能无需依赖编译环境，任何人员均可利用 Web操作与集成开发环境双接口，找出存在信息安全问题的源代码，并提供修补建议进行调整。CodeSecure依托于自行开发的主机进行远程源代码检测，在保证速度稳定的同时方便用户进行Web远程操作。

优点：Web结合硬件，速度快、独具特色的深度分析

缺点：支持语言种类较少、价格不菲

3. 对比

Fortify SCA简写为SCA，Checkmarx CxSuite简写为CxSuite，Armonize CodeSecure简写为CodeSecure。

从软件支持的源代码语言上来说，Fortify SCA（下文简称SCA）支持多达17种语言，Checkmarx CxSuite（下文简称CxSuite）其次，而Armonize CodeSecure（下文简称CodeSecure）在三款软件中支持的最少，仅仅支持几种最常见语言，不过这几种基本涵盖了绝大多数应用中使用的编程语言，基本上可以支持现在大多数应用的源代码扫描。

从风险的分类来说，各个厂商都有其自己独特的分类方式和不同的种类数量，不过从实际应用中可以看出，总体上仍为OWASP公布的几类风险，如SQL注入、跨站脚本等，已经可以满足实际中开发人员和测试人员的需求，对于各个厂商不同的部分，一般来说主要的区别在于理解不同，看问题的角度不同，并无谁错谁对之原则性问题。

从运行平台的角度，CodeSecure这个产品目前看来已经将SaaS的理念很好的融合进来，整个软件的操作界面为Web方式，用户可以通过网页进行操作，B/S的方式可以将操作系统的影响降到最低，只要有一台可以上网的电脑和浏览器，无论什么操作系统都可以使用CodeSecure远程进行源代码扫描，CodeSecure依托的是一台Armonize自行研制的主机，使用硬件设备的好处在于可以适用于多种场合，不会因为测试人员或是开发人员的电脑配置影响扫描速度，扫描的速度完全取决于主机的性能。而SCA和CxSuite主要还是单机软件，但目前也在不断地向SaaS的方向进行过渡，并且提供了相当全面的贯彻整个软件开发流程（SDLC）的解决方案与服务给用户。其中CxSuite这个产品标明了使用该软件的硬件配置，为 Windows操作系统和.NET框架，这个产品目前应该为利用.NET框架进行开发，所以运行环境有一定的局限性。同时，SCA和CxSuite因为是单机软件，一方面在使用前需要安装，另一方面其运行速度取决于运行软件的电脑性能，对于使用该软件的电脑配置有一定的要求。

三种产品都使用了各自的技术对于威胁进行检测，SCA使用的是已获得专利的

X-Tier™数据流分析器，这三种产品中只有CxSuite声称可以达到零误报率，因为其对于风险的理解是风险必须在外形上呈现出来才被考虑为实际的风险，这种理解方式可以说是别出心裁，从代码安全的角度来说，检测的目的是为了发现问题并及时改正，同时要针对于最关键的问题进行改正，这也是这三款软件都包含TOP X的统计的目的，从这一点上讲，CxSuite 的风险报告是非常谨慎的。SCA在以前的使用中发现有一定的误报率，不过换个角度想，误报相比漏报是可以容忍的，规则越严格，误报率就会相应的上升而漏报率就会相应的下降，源代码检测工具目前均为静态的进行代码的扫描，即所有的检测均是按照“规则”来进行，任何一款产品都不可能达到真正的零误报、零漏报。所以可以说SCA的规则检查稍显简单，CxSuite和CodeSecure的检查比较谨慎。

而从漏报率上来看，谨慎的查找势必会导致漏报率的提升，这一点上SCA和CodeSecure只说明了低漏报率，而CxSuite内部包含了一种类似于C#称为CxQL的查询语言，支持使用这种语言进行查询，方便用户进行特定的查找。另两款软件使用的都是规则的