三大代碼審計工具的對比(源傘科技Pinpoint、Checkmarx、Fortify)
源傘科技Pinpoint
源傘科技2016年由香港科大團隊創立,立足於國際水平的學術研究積累, 秉承工匠精神,致力用最先進的自動程序分析技術保障軟件質量,為企業提供以人工智能為基礎的工業級程序缺陷自動挖掘技術,工具和解決方案。核心產品Pinpoint可無縫接入到軟件開發人員和測試人員的現有工作流程中,全面自動分析和管理程序源碼中數百種常見的高危程序缺陷,並清晰的展示缺陷觸發的原因。由於具備人工智能軟件邏輯推理能力,Pinpoint的檢測准確度和缺陷發現能力均居於世界領先水平。僅面市半年,源傘產品便迅速被市場認可,目前已應用於大型互聯網企業,電子消費制造商,金融業,智能設備企業,和權威軟件測試機構。源傘立足於中國,以一流的產品和解決方案服務於中國軟件開發商並逐步輻射全球企業,最終為推動軟件質量和安全保障行業的技術升級而不懈努力。
優點:國產、速度快、精確、二進制掃描、靈活定制開發、價格透明
缺點:C++/C和Java/Android檢測能力強,其余較弱
Checkmarx
Checkmarx是一家以色列高科技軟件公司,是世界上著名的代碼安全掃描軟件Checkmarx CxSAST的生產商,擁有應用安全測試的業內前沿解決方案-CxSAST、CxOSA、CxIAST 。Checkmarx提供了一個全面的白盒代碼安全審計解決方案,幫助企業在軟件開發過程中查找、識別、追蹤絕大部分主流編碼中的技術漏洞和邏輯漏洞,幫助企業以低成本控制應用程序安全風險。CxSAST無需搭建軟件項目源代碼的構建環境即可對代碼進行數據流分析。通過與各種SDLC組件的緊密集成,CxSAST可實現分析過程的完全自動化,並為審計員和開發人員提供對結果和補救建議的即時訪問。
優點:規則自定義、集成性強
缺點:速度慢,精確率,昂貴
Fortify
Fortify SCA ,是一個靜態的、白盒的軟件源代碼安全測試工具。它通過內置的五大主要分析引擎:數據流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態的分析,分析的過程中與它特有的軟件安全漏洞規則集進行全面地匹配、查找,從而將源代碼中存在的安全漏洞掃描出來,並給予整理報告。
優點:速度、精確
缺點:集成性太差,昂貴
價格
源傘科技Pinpoint:價格透明,https://www.sourcebrella.com/pinpoint/
Checkmarx:訂閱式和永久式。訂閱式每年付費、永久式一次性付費。訂閱式缺點是如果不續費,產品就根本不能使用了,這個比較惡心。還有就是按照用戶數進行收費,不過用戶可以同時登入。
Fortify:Python、Cobol、ColdFusion、Abap額外收費。Fortify有個漏洞平台統計的需要額外購買(不建議購買,雞肋),另外就是根據代碼的情況購買相應的引擎,多一個引擎多一份錢。
為國產靜態代碼分析軟件打Call !!