三大付费版代码审计工具对比分析

三大代码审计工具的对比(源伞科技Pinpoint、Checkmarx、Fortify)

源伞科技Pinpoint
源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分析和管理程序源码中数百种常见的高危程序缺陷,并清晰的展示缺陷触发的原因。由于具备人工智能软件逻辑推理能力,Pinpoint的检测准确度和缺陷发现能力均居于世界领先水平。仅面市半年,源伞产品便迅速被市场认可,目前已应用于大型互联网企业,电子消费制造商,金融业,智能设备企业,和权威软件测试机构。源伞立足于中国,以一流的产品和解决方案服务于中国软件开发商并逐步辐射全球企业,最终为推动软件质量和安全保障行业的技术升级而不懈努力。

优点:国产、速度快、精确、二进制扫描、灵活定制开发、价格透明
缺点:C++/C和Java/Android检测能力强,其余较弱

Checkmarx
Checkmarx是一家以色列高科技软件公司,是世界上著名的代码安全扫描软件Checkmarx CxSAST的生产商,拥有应用安全测试的业内前沿解决方案-CxSAST、CxOSA、CxIAST 。Checkmarx提供了一个全面的白盒代码安全审计解决方案,帮助企业在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞,帮助企业以低成本控制应用程序安全风险。CxSAST无需搭建软件项目源代码的构建环境即可对代码进行数据流分析。通过与各种SDLC组件的紧密集成,CxSAST可实现分析过程的完全自动化,并为审计员和开发人员提供对结果和补救建议的即时访问。

优点:规则自定义、集成性强
缺点:速度慢,精确率,昂贵

Fortify
Fortify SCA ,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。

优点:速度、精确
缺点:集成性太差,昂贵

价格

源伞科技Pinpoint:价格透明,https://www.sourcebrella.com/pinpoint/

Checkmarx:订阅式和永久式。订阅式每年付费、永久式一次性付费。订阅式缺点是如果不续费,产品就根本不能使用了,这个比较恶心。还有就是按照用户数进行收费,不过用户可以同时登入。

Fortify:Python、Cobol、ColdFusion、Abap额外收费。Fortify有个漏洞平台统计的需要额外购买(不建议购买,鸡肋),另外就是根据代码的情况购买相应的引擎,多一个引擎多一份钱。

为国产静态代码分析软件打Call !!