CodeSecure™ - 第三代源碼檢測和軟體驗證

什麼是 CodeSecure™

阿碼科技 CodeSecure™ 採用優於同業的第三代靜態源碼驗證技術，可有效地協助企業與開發人員在軟體開發過程及專案上線後揪出 Web 應用程式弱點，並清楚交代弱點的來龍去脈 (如何進入程式，如何造成問題) 。 CodeSecure™ 內建語法剖析功能無需依賴編譯環境，任何人員均可利用 Web操作與整合式開發環境雙介面，準確找出存在資安問題的源碼，並提供修補建議進行調整。此解決方案可更進一步與 Web 應用程式防火牆 SmartWAF™ 無縫整合，立即產生量身訂做的防火牆阻擋規則，讓開發團隊有更充裕的時間進行弱點修補。 CodeSecure™ 可於專案早期開發時導入，為最前瞻和高成本效益的 Web 應用程式安全解決方案，是協助企業揮別網站先上線、事後再防禦，化被動為主動，預防勝於治療的新世代資安防護解決方案。

CodeSecure™型錄和資料表

CodeSecure™ 的優勢

提供追本溯源的弱點解決方案

		可導入軟體開發生命週期，於開發階段檢測不安全的源碼
		可於早期發現，及早根除問題的低成本、高效率軟體開發原則
		偵測 ASP.NET、VB.NET、C#、Java/J2EE、JSP、EJB、PHP、Classic ASP 和 VBScript 內易存在資安風險之處
		建構分析 Web 應用程式的所有執行路徑，追蹤由「不可信任」資料來源至可遭受攻擊弱點位置之間的完整資訊流與程式流
		計算「不可信任」資料，蔓延至整個 Web 應用程式的衝擊結果
		非黑箱入侵性地掃瞄分析程式源碼，完全不影響正在線上運行的 Web 應用程式
		支援程式源碼版本管理系統（Version Control），整合程式「源碼儲存庫（Repository）」，可便利地自動排程分析檢測程式源碼
		藉由與 IDE 程式開發環境以及源碼檢測Plug In 模組機制的整合，讓程式開發人員在 Web 應用程式系統發展過程（SDLC），一邊撰寫程式一邊進行源碼安全檢測

回到最上方

優於同業的第三代靜態源碼驗證技術

		提供「角色基礎（Role-Based）」的專案管理與權責區分 Web 管理介面
		內建「語言剖析器（Parser）」，提供獨立於編譯器之外的分析與彈性的部署方式
		先進的正規驗證演算法，無須依賴編譯器即可提供快速且準確的弱點檢測
		無須依賴編譯器的分析引擎只需要源碼即可分析，不需要與編譯環境整合

回到最上方

精確度與涵蓋範圍

		內建的語言剖析器，可分析獨立於建置環境外的源碼，即使程式碼仍不完整而無法編譯
		先進的正規驗證演算法，和獨立的編譯器，可確保極低的誤報率（<1%）
		優異的弱點追蹤功能，可以從安全問題的起點開始追蹤資料流，由程式碼的進入點，經過函式、類別與檔案後到達最後導致安全問題的位置
		高互動性的 HTML 格式報告可以精確指出有問題的程式碼位置

回到最上方

進階報告

		提供可透過網頁介面存取的互動式分析與報告功能
		包含詳盡的弱點追蹤功能，精確描述在應用程式內不安全的資料流
		標示易受攻擊之進入點、函式與類別
		依照風險高低決定弱點修復的優先等級
		提供修復建議，包括詳盡的攻擊程式範例與弱點修復範例
		可自動派送經客製化的報告，涵蓋技術細節與管理階層的需求
		支援 PDF、HTML、XML 格式報告和 WAF 輸出整合

回到最上方

易導入、低負擔

		網頁操作介面的隨插即用設備，在幾分鐘內即可部署完成，立即提供多使用者操作
		IDE 程式開發環境整合能力可在，既有開發習慣的影響最小之情況下，快速融入操作環境
		網頁操作介面和內建語言剖析器確保零安裝負擔和獨立於建置環境之外的操作
		自動指定檢測規則、源碼取得和掃瞄排程可減輕管理上的負擔
		與 Active Directory 的整合簡化存取控制的管理
		與 SmartWAF™ 的整合提供了立即弱點補強（即時修補）

回到最上方

CodeSecure™ Verifier

CodeSecure™ Verifier 主機內含源碼分析和驗證引擎，可透過網路瀏覽器存取，提供了可積極擴展的 Web 應用程式安全解決方案。

		提供開發人員、管理人員和資安人員都可使用的集中化源碼分析平台
		提供同步多專案、多人和多平台之源碼分析
		直覺式網頁介面便於安裝、設定與整合

CodeSecure™ 可以是一個供企業使用標準主機設備、適用於稽核員與顧問的行動裝置，或從網際網路瀏覽器連線的「軟體即服務（SaaS）」

回到最上方

CodeSecure™ Workbench

CodeSecure™ Workbench 有助於透過程式開發人員的 IDE 進行源碼分析

		可供下載的 IDE 外掛套件可與Visual Studio 和 Eclipse 整合
		IDE 整合可達成桌上掃瞄、分析和修正
		與 CodeSecure™ Verifier 的整合確保 IDE 在源碼檢測時不會佔用開發人員的電腦資源
		與檢測規則的整合可將不同開發者 IDE 上的檢測設定保持一致

回到最上方

CodeSecure™ 分析：掃描結果與報告

CodeSecure™ 顯示頁面：專案與掃描總覽

CodeSecure™ .NET WorkBench：VisualStudio 整合

CodeSecure™ Eclipse Plugin：Java 與 PHP