CodePecker源代码缺陷分析系统-产品介绍

CodePecker是北京酷德啄木鸟信息技术有限公司采用业界领先的源代码静态分析技术开发的一款针对源代码缺陷进行静态分析检测的产品，是国内第一款成熟的源码缺陷分析产品。它在对目标软件代码进行语法、语义分析的技术上，辅以数据流分析、控制流分析和特有的缺陷分析算法等高级静态分析手段，能够高效的检测出软件源代码中的可能导致严重缺陷漏洞和系统运行异常的安全问题和程序缺陷，并准确定位告警，从而有效的帮助开发人员消除代码中的漏洞、减少不必要的软件补丁升级，为软件的信息安全保驾护航。

商品核心功能及服务：

主要功能

CodePecker源代码缺陷分析系统V4.0是基于B/S架构研发的源代码安全检测系统，提供企业级的软件安全开发生命周期管理，主要功能包括：检测项目管理、源代码缺陷分析、自动化检测、全流程缺陷管理、源代码安全评级、缺陷查询定位、缺陷审计、代码缺陷统计分析、检测规则配置管理、检测报告、函数白名单配置、检测目标基线设置、Bug管理系统集成、代码库集成、缺陷知识库等多项强大的功能。CodePecker使得软件源代码缺陷分析和审计工作实现了系统化管理，使得开发人员、测审计人员和管理人员在一个平台上都能够简单地、高效地完成代码审计工作，帮助客户形成一套完整的源代码质量管理流程和体系，提高整体编码质量和水平，为客户的信息安全助力护航。 

检测能力

CodePecker基于市场领先的缺陷检测引擎和规则库，支持对Java/JSP、C、C++、C#、PHP、Python、Objective-C、HTML、JavaScript、SQL等主流编程语言开发的软件源代码安全缺陷的检测。

主要语言的检测不需要依赖具体的编译器和开发环境，无需预编译可直接分析源代码。

支持基于JAVA字节码的代码缺陷分析，可直接分析JAR、WAR包。

支持对源代码安全缺陷和质量缺陷的检测。检测结果涵盖代码注入、跨站脚本、缓冲区溢出、配置错误、API误用、拒绝服务、未验证的用户输入、弱加密问题、信息泄露、危险函数等类型，共1000多个缺陷类型。

检测缺陷可按照CWE、OWASP Top10、PCI等国际组织或行业安全标准进行分类、分级。

支持分析百万行级别的源代码（硬件配置：CPU 32核2.0 GHz及以上，内存128GB及以上）。

CodePecker在对目标软件代码进行语法、语义分析的技术上，辅以数据流分析、控制流分析、配置分析等特有的缺陷分析算法等高级静态分析手段，CodePecker对目标系统进行检测时，能提供过程内（Intra-procedure）、过程间（Inter-procedure）等各种层次的分析，能够高效的检测出软件源代码中的可能导致严重缺陷漏洞和系统运行异常的安全缺陷。

检测项目管理

支持以项目组形式进行代码审计项目管理，支持对多部门、多项目组的团队级代码审计管理功能。支持用户管理和权限管理。

支持缺陷从发现到分配到解决的全生命周期管理。

用户可通过上传代码压缩包进行检测。支持对SVN/GIT等版本管理系统的集成，可直接从代码库获取代码实时或者周期性的自动化检测。

支持全量分析及增量分析，可针对改动代码及其关联引用代码，进行增量分析，提升分析速度，提高审计效率。 

检测进度可实时查看跟踪。

根据项目的历次检测结果，提供对比分析及安全趋势分析。结合已设置的项目目标基线，提供检测结果与目标基线的对比分析。

图形化展示和缺陷定位追踪

系统使用WEB浏览器访问，图形化操作，界面友好，操作简单，不需要复杂的检测流程。检测完成后，可根据检测结果生成可视化缺陷展示图，从多个维度展示缺陷分布。

检测结果简单明了，并有详细的缺陷分析，同时提供了缺陷分析的追踪定位，用户只需要简单的鼠标操作，就能够对缺陷追踪定位。

针对检测结果给出缺陷细节分析、修复建议及详细的知识库参考，为开发人员修复缺陷提供建议和帮助。

缺陷审计

系统支持对缺陷分析结果以及审计人员的审计结果做持久化保存，用户可提交审计建议及审计结果并进行缺陷分配，方便后续对缺陷的维护管理。

支持批量审计，降低审计人员工作量。

支持历史版本审计信息携带，可导入历史审计信息，避免重复审计。

系统能够基于历史审计信息自动学习并识别历史缺陷，进而支持自动化代码审计，提高审计效率。

自定义缺陷规则集

针对上千种缺陷检测类型，产品提供了可选择缺陷规则集配置功能，如在大型应用系统中，存在各种级别的多种缺陷类型，检测结果可能偏多，会干扰错误排查，影响审计效率，用户可综合考虑项目类型、项目重要程度以及项目代码量等情况，只针对高危或者某几类缺陷做有针对性的深度检测，只关注特定的缺陷类型。同时产品也提供了默认缺陷规则集，涵盖了常见的缺陷种类。

函数白名单

支持用户自定义函数白名单功能，检测引擎可自动识别白名单函数进行过滤净化，减少误报。

开源组件检测

本产品可对软件项目中使用的开源组件进行安全检测，参考最具权威的CVE(Common Vulnerabilities and Exposures)和CNNVD(China National Vulnerability Database of Information Security，国家信息安全漏洞库)漏洞库，找出软件中存在漏洞的开源组件，并给出准确的漏洞详情及修复建议。

统计分析

系统可以从多个视角深刻反映软件源代码的整体安全状况。从安全缺陷、代码质量问题、风险等级、审计状态等多个视角进行了细粒度的统计分析，并通过柱状图、饼图等形式，直观、清晰的从总体上反映了代码缺陷分布情况。

能够按照部门/用户进行统计分析，统计每个部门/用户发起的任务数量、检测的代码量、检测出的缺陷数量。

能够按照项目进行统计分析，统计每个项目的缺陷数量。

能够按照缺陷类型进行统计分析，统计每类缺陷的个数。

检测报告

用户可根据需要，通过多个维度查看检测统计分析及检测报告，检测报告功能丰富，详实全面，包括项目的基本信息、统计信息及缺陷详情。检测报告支持PDF、WORD、EXCEL等格式。

支持自定义报告内容，用户可根据项目、缺陷类型、严重等级、审计状态等自定义导出报告。

缺陷知识库

团队成员有着多年的源码安全检测经验，依靠专业的安全团队的研究，CodePecker缺陷知识库功能丰富，知识库包含所有缺陷类型，每个缺陷都有详尽的描述和修复建议，同时积极与国际化接轨，大多缺陷类型都可以映射到CWE、OWASP、PCI等权威国际安全组织公布的缺陷分类中。缺陷知识库可作为审计人员和开发人员的重要学习参考，提高代码的安全开发水平。

支持DevSecOps落地实施

支持与版本控制系统（如SVN、Git等）的集成，实现从代码库获取代码实时或者周期性自动化检测功能。

支持Jenkins发起检测。

支持与Bug管理系统（Bugzilla、JIRA等）的集成，把检测结果自动导入到Bug管理系统。

系统提供了代码检测API，可通过API进行代码检测及获取检测结果。

系统提供了与邮件系统的集成，可把检测结果以邮件形式发送。

可根据用户特殊需求进行定制化开发，满足用户对代码审计系统与其它系统的集成整合。