四款优秀的源代码扫描工具简介.pdfVIP

一、DMSCA-企业级静态源代码扫描分析服务平台

端玛企业级静态源代码扫描分析服务平台（英文简称：DMSCA）是一个独特的源代码安全

漏洞、质量缺陷和逻辑缺陷扫描分析服务平台。该平台可用于识别、跟踪和修复在源代码的

技术和逻辑上的缺陷，让软件开发团队及测试团队快速、准确定位源代码的安全漏洞、质量

和业务逻辑缺陷等问题，并依据提供的专业肯的修复建议，快速修复。提高软件产品的可靠

性、安全性。同时兼容并达到国际、国内相关行业的合规要求。

DMSCA是端玛科技在多年静态分析技术的积累及研发努力的基础上，联合多所国内及国

际知名大学、专家共同分析全球静态分析技术的优缺点后、结合当前开发语言的技术现状、源

代码缺陷的发展势态和市场后，研发出的新一代源代码企业级分析方案旨在从根源上识别、跟

踪和修复源代码技术和逻辑上的缺陷。该方案克服了传统静态分析工具误报率（FalsePositive）

高和漏报（FalseNegative）的缺陷。打断了国外产品在高端静态分析产品方面的垄断，形成

国自主可控的高端源代码安全和质量扫描产品，并支持国自己的源代码检测方面的国家标

准（GB/T34944-2017Java、GB/T34943-2017C/C++、GB/T34946-2017C#），致力于为

在国的企业提供更直接，更个性化的平台定制和本地化服务。

DMSCA支持主流编程语言安全漏洞及质量缺陷扫描和分析，支持客户化平台界面、报告、

规则自定义，以满足客户特定安全策略、安全标准和研发运营环境集成的需要。产品从面世，

就获得了国国内众多客户的青睐，这些客户包括但不限于银行、在线支付、保险、电力、能

源、电信、汽车、媒体娱乐、软件、服务和军事等行业的财富1000企业。

1、系统架构

2、系统组件

3、产品界面

4、集成SDLC

五、主要功能及特性

操作系统独立。代码扫描不依赖于特定操作系统，只需在在企业范围内部署一台扫描服

务器，就可以扫描其它操作系统开发环境下的代码。

编译器独立、开发环境独立，搭建测试环境简单快速且统一。由于采用了独特的虚拟编

译器技术，代码扫描不需要依赖编译器和开发环境，无需为每种开发语言的代码安装编译器和

测试环境，只需要通过客户端、浏览器、开发环境集成插件登录到we服务器。

工具学习、培训和使用的成本少，最小化影响开发进度。由于编译器、操作系统和开发

环境独立，使用者无需去学习每种平台下如何去编译代码，调试代码、如何扫描测试代码，无

需去看每种平台下繁琐的使用手则。因为端玛代码扫描系统服务只需要提供源代码即可扫描，

并给出精确的扫描结果。

低误报。DMSCA企业服务在扫描过程全面分析应用的所有路径和变量。准确地分析

结果，验证可能的风险是否真正导致安全问题，自动排除噪音信息，扫描结果几乎就是最终的

分析结果，误报率（FalsePositive）几乎为零。极大的减少了审计分析的人工劳动成本，极大

节省了代码审计的时间，为开发团队赢得更多的开发时间。

安全漏洞覆盖面广且全面(低漏报）。数以百计的安全漏洞检查适合任于何组织，支持最

新的OWASP、CWE、SANS、PCI、SOX、GDPR、等国际权威组织对软件安全漏洞的定义，

同时支持国国家源代码安全检测标准（GB/T34944-2017Java、GB/T34943-2017C/C++、

GB/T34946-2017C#）。漏洞覆盖面广，安全检查全面，其自定义查询语言可以让用户灵活制

定需要的代码规则，极大的丰富组织特定的代码安全和代码质量的需要。

安全查询规则清晰且完全公开实现。规则定义清晰，并完全公开所有规则的定义和实现

让用户清楚知道工具如何去定义风险、如何去查找风险，透明各种语言风险。让用户知道工具

已经做了那些工作，没有做那些该工作。而不是给用户一个黑匣子，用户无法了解工具的细节

和缺陷，无法在代码审计过程规避工具的风险（比如漏报和误报），比如利用人工或者其它手

段查找工具不能定位的问题。

安全规则自定义简单高效。由于公开了所有规则实现的细节和语法，用户可以快速修改