jsp源代码安全工具常用解决方案「多面魔方」

请问有哪些代码审计的工具产品？

国外商业工具：klocwork, fortify,Coverity, parasoft, TestBad, C++Test, Checkmarx CxEnterprise，PolySpace，PClint（有些不是产品名称，不过在业内都这么叫）。

国外开源工具：findbugs, checkstyle,sonar,PMD...国内商业工具：360代码卫士，这个大多数人还没有听过，不过它已经是一款非常成熟的产品，实际的项目分析中完全不输给国外的源代码静态分析工具。

代码审计服务流程

1、准备阶段

      在代码审计前期准备阶段，项目组将对业务软件功能、架构、运行环境和编程语言等实际情况进行调研，为代码审查工作的开展提供必要条件。

2、审核阶段

      前期准备工作完成后将进入代码审核阶段，主要采用人工审核为主和自动化审计工具辅助的方式进行安全审计，通过审计发现安全缺陷并定位到具体的代码给出整改建议。

3、制作报告

      对于审计发现的问题，我们会对发现的问题进行相关分析，提出整改建议终形成书面报告，若有需要可组织会议进行汇报。

4、安全整改

      我们会协助开发人员整改安全漏洞并复查漏洞的整改情况，确保产品上线后安全稳定的运行。

代码安全存在的问题

      现在软件功能都在朝着越来越复杂的方向变化，同时导致软件漏洞逐渐的增加。软件在设计开发过程中，存在着软件开发周期短，工作量大，没有涉及到或无暇顾及代码安全问题，甚至在软件设计前期就缺乏对代码安全的设计，同时也体现出我们的软件开发人员自身就缺乏安全编程的经验。在现在的互联网环境下，代码安全也面临着更多的安全挑战。

软件开发所面临的安全问题

1、代码与架构复杂

几十万、几百万行代码、一个业务分几十个模块几十个代码仓库家常便饭；开发语言多种多样，各种自研框架、流行框架应接不暇、架构还非常复杂。

以上两个问题对审计人员、SAST工具来说无疑都是很大的挑战。

2、工具准召率

没有工具是所谓银弹，规则、插件准召率很低，需要根据开发语言、编码风格自定义；工具对逻辑漏洞的无力，与业务逻辑漏洞大量曝光的漏洞态势之间的矛盾，工具、系统的运营也需要专门人力投入，从而不断提高工具的准召率。

3、心态

审计人员出于KPI的考虑，想着既然花了很长时间做了代码审计，为了体现工作量就必须说点什么，如果系统本来没有问题却在那挑刺，会更加不信任你。对于甲方代码审计人员，审计任务多、代码庞大是常态，如果不考虑后果的只提高速度，这种方式会遗漏掉细节，导致不能的审查。