软件高质量高安全的守护神

静态代码检查工具Sourceye

源信安的静态代码检查工具Sourceye(SAST)是全新一代静态代码安全检测解决方案,主要用于应用软件、嵌入式软件、APP软件等的源码审计及安全质量分析,可识别软件中的安全性、质量、可靠性、性能等问题,帮助遵守标准。可支撑DevSecOps更高效,不断提升团队开发人员的生产力。

痛点需求

编码规范执行情况难以掌控

每个软件开发团队都有自己的编程规范,而编程规范的执行仅靠管理手段。实际的执行情况仅在代码评审或出了问题才知道,且不够全面。

缺乏安全的编码习惯

大部分软件开发人员缺乏安全的编码知识以及安全开发经验,也难以快速定位到代码中的安全问题。

编码规范执行情况难以掌控

在整个软件开发生命周期中,越后端,安全问题的修复成本越高。据统计,后期修复成本相对于早期的修复成本大于40倍以上。

团队优秀实践传递不到位

软件开发团队在开发过程中都会积累很多优秀实践,以及业界也有很多优秀实践,而这些实践往往传递不到位,导致问题重复出现。

新员工编码能力欠缺

各软件开发团队都会存在有新手,新手所写代码问题也多,需要精力培养,而时间和项目节奏出现了矛盾,需要加快编码能力快速提升。

国外代码安全检查支持不足,且价格昂贵

国内外存在很多检查工具,但是在安全检查上能力都比较欠缺,特别是国外工具价格较高,本地化技术支持也有限,导致工具不能很好的落地。

使用场景

开发过程质量自查

开发过程中利用Sourceye可快速识别代码中存在问题、安全缺陷,甚至BUG等,不将问题遗留到测试段,甚至到现网生成环境,节省了测试成本、沟通成本、修复成本。

合规检查

不仅可对编码规范进行检查,同时可检查需要符合业界规范,通过代码检查来验证其是否符合业界的规范,也能够学习到业界的优秀实践。

供应链安全看护

信通院的软件供应链安全管理模型标准中的软件引入和软件准出时也明确提出软件合规要求,在自研软件部分,更要求安全编码和代码安全审计。

测试左移、安全左移

业届实践经验也表明,在软件生命周期中越早发现,修复越早,缺陷的影响和修复代价就越小,修复成本下降40倍。

保障AI生成代码安全

开发过程中利用Sourceye可快速识别代码中存在问题、安全缺陷,甚至BUG等,不将问题遗留到测试段,甚至到现网生成环境,节省了测试成本、沟通成本、修复成本。

优秀实践沉淀

团队经验实践沉淀,可以将其内置到代码检查工具上,作为团队的财富沉淀下去, 提升新员工能力。

产品方案

产品效果

快速检查、快速定位
通过Sourceye自动化快速扫描,开发人员直接定位到代码行,以及清晰的缺陷路径展示,并提供详细的修复指导,助力开发人员快速修复。
全面掌控代码质量和安全
Sourceye可全面统计软件代码中的质量、安全缺陷,同时度量缺陷分布、缺陷增长情况、修复情况等,支撑项目质量管理,指明改进方向,促进团队改进。
即时教育,提升能力
Sourceye提供丰富的编码知识,含缺陷的说明、优秀实践、以及代码示例,每次修复缺陷就是一个学习的过程,即时教育,从而从根本上提升编码者的能力。
规范执行情况一目了然
Sourceye可单独提供规范遵从情况,规范的执行情况一目了然,也有助于规范的优化改进。
Previous slide
Next slide

产品优势

检查能力强

支持C/C++、Java、js、python、Go等6种语言检测

支持风格类、质量类、安全类问题检测 支持CWE、OWASP Top10、SANS top25等安全问题进行检测

扩展性强

支持自定义规则扫描、自定义规则扩展 开放接入第三方引擎接口,无限升级扫描能力 无缝集成各类CICD工具、及企业研发平台

多平台多编译器支持

OS支持UOS、麒麟、windows、Ubuntu、OpenSUSE等操作系统; 支持ARM、龙芯、x86平台等平台; 编译器支持:gcc、g++ (gcc7及以上)、clang、clang++ (clang15及以上)、msvc(cl.exe) (vs2010及以上)、java (java8及以上)等

自主可控,强大研发团队

自研分析引擎,自主可控,无禁用风险,分析引擎由博士团队持续优化

了解 Sourceye Analyze 企业版