三款主流代码审计工具对比(360、checkmarx、fortify)
360企业集团
“360代码卫士”代码安全保障系统(以下简称“代码卫士”)是360企业安全集团基于多年源代码安全实践经验开发的新一代源代码安全检测系统,面向组织源代码安全需求,能够在不改变组织现有开发流程的前提下,与源代码管理系统(如SVN、Git等)、缺陷管理系统(如Jira、Bugzilla等)、IDE开发工具(如Visual Studio、Eclipse等)、持续构建工具(如Jenkins、TFS)无缝对接,将源代码安全检测融入企业开发流程,实现软件源代码安全目标的统一管理、自动化检测、差距分析、Bug修复追踪等功能,帮助企业以最小代价建立代码安全保障体系并落地实施,构筑信息系统的“内建安全”。
优点:国产、国产、国产
缺点:集成性较差
Checkmarx
Checkmarx是一家以色列高科技软件公司,是世界上著名的代码安全扫描软件Checkmarx CxSAST的生产商,拥有应用安全测试的业内前沿解决方案-CxSAST、CxOSA、CxIAST 。Checkmarx提供了一个全面的白盒代码安全审计解决方案,帮助企业在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞,帮助企业以低成本控制应用程序安全风险。CxSAST无需搭建软件项目源代码的构建环境即可对代码进行数据流分析。通过与各种SDLC组件的紧密集成,CxSAST可实现分析过程的完全自动化,并为审计员和开发人员提供对结果和补救建议的即时访问。
优点:规则自定义、集成性强
缺点:速度慢,精确率
Fortify
Fortify SCA ,是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。
优点:速度、精确
缺点:集成性太差
购买个人YY建议,不具备任何指导建议(只针对上面三家):
功能:
- 需要国产化可以选360(不过国内也有其他的厂商也在做了,有朋友测试过源伞还不错,有兴趣的可以了解一下)。
- 需要省心点集成性要求高的可以选checkmarx。
- 自己有开发能力的首选fortify作为引擎,自己对接做二次开发。
价格:水太深,只提供卖法
360:Python、Cobol需要额外收费,主要分为4大模块,按模块进行付费。
Checkmarx:订阅式和永久式。订阅式每年付费、永久式一次性付费。订阅式缺点是如果不续费,产品就根本不能使用了,这个比较恶心。还有就是按照用户数进行收费,不过用户可以同时登入。
Fortify:Python、Cobol、ColdFusion、Abap额外收费。Fortify有个漏洞平台统计的需要额外购买(不建议购买,鸡肋),另外就是根据代码的情况购买相应的引擎,多一个引擎多一份钱。
详细对比信息如下表格:
完整文档下载地址:https://t.zsxq.com/IEQRRFe