White Source是一家AST（應(yīng)用程序安全測(cè)試）領(lǐng)域的專業(yè)供應(yīng)商，專注于信息安全咨詢與缺陷研究。White Source提供的SAST產(chǎn)品旨在使用靜態(tài)應(yīng)用程序安全測(cè)試(SAST、白盒測(cè)試)技術(shù)，分析和測(cè)試應(yīng)用程序的安全漏洞。White Source SAST 產(chǎn)品檢測(cè)自定義代碼缺陷的速度比傳統(tǒng) SAST 產(chǎn)品快 10 倍。它與軟件開發(fā)人員現(xiàn)有的工作流程和開發(fā)環(huán)境無(wú)縫集成，因此他們可以在編寫代碼時(shí)輕松觸發(fā)安全測(cè)試。

軟件漏洞是公司或組織所面臨的嚴(yán)峻的安全挑戰(zhàn)。黑客會(huì)利用軟件漏洞危害公司安全，造成信息、金錢上的損失，擾亂業(yè)務(wù)運(yùn)作。這樣的事故會(huì)造成各種直接或間接的損害，包括負(fù)面公關(guān)以及客戶喪失信心等。根據(jù)《福布斯》雜志2018年的數(shù)據(jù)，數(shù)據(jù)安全漏洞造成的平均損失為791萬(wàn)美元。

為此，White Source的SAST產(chǎn)品提供了軟件漏洞檢測(cè)的解決方案：專注于創(chuàng)建自定義代碼漏洞檢測(cè)、優(yōu)先級(jí)和自動(dòng)修復(fù)，使開發(fā)人員能夠快速輕松地識(shí)別和修復(fù)重要的軟件風(fēng)險(xiǎn)。

White Source SAST

——針對(duì)信息安全的代碼靜態(tài)分析工具

產(chǎn)品介紹

White Source SAST是一個(gè)SAST(靜態(tài)應(yīng)用程序安全測(cè)試、白盒測(cè)試)解決方案，用于對(duì)應(yīng)用程序源代碼執(zhí)行廣泛的安全分析。White Source SAST易于使用，幾乎不需要用戶輸入，可以在開發(fā)期間或開發(fā)之后部署。它可以通過(guò)自動(dòng)化代碼分析的方式，有效替代高要求并且耗時(shí)的人工代碼審查過(guò)程。White Source SAST可以快速并準(zhǔn)確地分析大型和復(fù)雜項(xiàng)目的源代碼，提供準(zhǔn)確的結(jié)果和低誤報(bào)率。

廣泛的適用性

White Source SAST支持C/C++、C#、Java、PHP、ASP、VB.Net、Visual Basic、VB Script、Python、Ruby、Java Script、Type Script、Node.js、Android Java、IOS Objective C、PL/SQL、Cold Fusion、Groovy、COBOL等多種開發(fā)語(yǔ)言/框架，覆蓋當(dāng)前多數(shù)開發(fā)平臺(tái)。

White Source SAST可以在服務(wù)器上部署為Web應(yīng)用，并通過(guò)網(wǎng)頁(yè)方便地訪問(wèn)，并提供強(qiáng)大的RESTAPI以供通過(guò)Windows、Linux或Mac平臺(tái)進(jìn)行調(diào)用。也可以直接部署為Windows桌面版。White Source SAST支持與Git、TFS、SVN等版本控制系統(tǒng)進(jìn)行集成，便于代碼管理。

漏洞覆蓋

White Source SAST能夠?yàn)槭褂貌煌_發(fā)環(huán)境和框架，在不同平臺(tái)上開發(fā)的應(yīng)用程序掃描多達(dá)30多種漏洞類型（其中包括OWASP Top10），其中一些如下：

SQL注入

XPATH注入

文件泄漏

郵件轉(zhuǎn)發(fā)

跨站腳本攻擊

弱加密

危險(xiǎn)配置項(xiàng)

代碼注入

危險(xiǎn)的文件擴(kuò)展名

Shell命令執(zhí)行

HTTP響應(yīng)分拆攻擊

信息泄漏

LDAP注入

應(yīng)用&案例

White Source SAST在汽車、金融、互聯(lián)網(wǎng)等領(lǐng)域均有應(yīng)用：