产品

爱科识是什么?

爱科识是基于静态代码扫描(SAST)的下一代源代码分析工具。它使用深层的编译器级别技术来检查数据流,分析软件应用程序,从而提高了缺陷检测的准确性。

爱科识能轻松、快速地开发高质量代码、识别漏洞,并保证代码符合公司、软件的合规性标准。

爱科识精准、直观,可在软件开发生命周期(SDLC)的早期识别代码缺陷。您可以在开发周期中进行“左移”测试,从而极大地提高工作效率。此外,爱科识还可通过源代码分析来识别导致内存损坏,core dump,缓冲区溢出,非法操作,空指针等的缺陷。

爱科识为您提升了修复效率,缩短了开发人员的反馈时间。我们不仅可以突出显示漏洞,还提供修复指导帮助您理解漏洞原因。您可以在编码和测试等不同阶段使用爱科识,它可与手动代码审查和其它测试方法相结合,比如:白盒、黑盒,或单元测试。

无论您是开发人员、安全专家、质检人员,还是企业高管,爱科识都能为您提供专业的技术支持,帮助您提高效率、降低成本,同时更快地将产品推向市场。爱科识支持企业的本地部署使用,为了提高使用体验还提供中文和英文两种语言界面。

爱科识的参数

  • 支持的编程语言:C / C ++,Java
  • CI / CD集成: Jenkins
  • IDE集成:VSCode
  • 源代码管理:GitHub,GitLab, Gerrit
  • 编码规范:
    • – 鉴释自有规则集,可识别许多已知的严重漏洞
    • – SEI CERT C
    • – SEI CERT C++
    • – SEI CERT JAVA
    • – OWASP TOP 10
    • – CWE
  • 本地部署
  • 中英文界面

下载爱科识规格表

我们的优势

深度编译器级别技术

一些代码错误较为隐蔽,却对代码质量有着很大影响。 爱科识超出普通代码分析的范围,不仅可以在抽象语法树(AST)级别工作,也能在中间表示(IR)级别进行分析,从而精准检测软件的漏洞与缺陷,并生成检测结果的综合报告。 我们采用的分析方法包括数据流分析,控制流分析,上下文敏感分析,对象敏感分析,跨程序分析和跨文件分析。此外,爱科识还提供跨语言分析支持。

更精准、更快速

凭借高精度扫描,爱科识缩短了开发人员手动识别误报的时间,帮助客户甄别真正的漏洞,并进行追踪和修复。此外,爱科识的扫描速度快,这也极大地缩短了等待时间,提高了效率。

卓越的用户体验

如何识别漏洞的优先级,并及时进行修复对于提升软件开发效率至关重要。爱科识可根据漏洞的严重级别,确定补救的优先级,并突出显示最关键的错误,帮您快速甄别其对软件运行的影响。此外,爱科识提供简单便捷的操作界面,以可视图表显示数据流的跟踪路径,让客户对上下游功能一目了然。通过我们的Web界面,您可以查看爱科识提供的专业漏洞修复指南,直接扫描代码、查看缺陷报告和分配任务。

下载爱科识产品手册

爱科识如何满足您的需求?

您是开发人员吗?

通过爱科识精准的代码分析,您可以快速识别潜在漏洞,在直观的显示界面中迅速确定漏洞的优先级并进行修复,从而确保代码的安全与质量。爱科识使用了大量的CERT 1级、2级,以及鉴释自有规则集,这些规则与OWASP和CWE结合,在确保质量的同时为您的源代码提供全面支持。此外,我们将为您提供快速的代码审核,提升手动审核速度,同时,通过配合使用持续集成(CI)工具和集成开发环境(IDE),您可以大幅提升开发效率。

您是质检人员吗?

软件健康取决于代码质量。 爱科识不仅能确保您的产品符合相关行业标准,也可以针对不同行业的标准,为您提供个性化合规性规则保障。 此外,您可以选择将爱科识嵌入质检流程中——它不仅可以提供全面、准确的报告,也可将修复任务分配给特定开发人员,允许他们单独对合规性负责。这种静态代码分析的方式,也将帮助开发人员培养“质量第一”的原则。

您是安全专家吗?

确保网络和应用程序安全,是安全专家的职责所在。爱科识从软件开发周期的早期阶段开始,对可能的风险漏洞进行检测和识别,以确保网络和应用程序的安全。同时,我们可以根据风险等级,确认安全漏洞修复的优先级,并提供检测报告,助力开发人员发现安全问题、确认修复任务,并确保代码符合相关安全标准。爱科识将全方位助力您实施安全的解决方案。

您是企业高管吗?

技术资产安全对于企业的声誉和发展至关重要,因此,防止黑客入侵也成为企业高管不可忽视的问题。爱科识为客户提供高效、安全的解决方案,让您无需迫于产品发布时间的压力而牺牲软件安全。作为技术开发的重要工具,爱科识可以提供所有项目运行状况的即时概览,并根据风险级别进行分类和排序,您可以优先修复紧急漏洞,从而确保软件安全。此外,我们在确保按时交付高质量软件的同时,降低了成本。

爱科识能找到什么漏洞?

采用鉴释自有规则集

爱科识的分析引擎包括鉴释自有规则集,涵盖了最重要的软件漏洞。 此处只列出了部分鉴释自有规则集。

规则 描述
数组越界 该程序正在预期缓存的已声明的界限外(界限之前或之后)访问数据。
空的异常捕获块 该程序有带空catch块的异常构造。
被零除 该程序正试图将值除以零。
闲置变量 这个语句之后的另一个语句将使此语句的执行无效,或者从未使用过此语句的结果。
形式和实际参数不匹配 该程序正调用函数,其使用的参数个数与原型声明的参数个数不同。
格式字符串溢出 该程序正调用printf函数族中的一个,其使用的参数个数(或类型)与格式字符串声明的不同。
没有释放 该程序已分配了堆内存,但未能释放那块内存。
空指针解引用 该程序正通过有空值的指针访问内存。这可能会导致段错误或不可预测的程序行为。该漏洞与EXP34-C等同。
局部变量的返回地址 该函数返回了栈变量的地址,这会导致意外程序行为。
从外部套接字读取 该程序已从可能包括不受信任数据的外部套接字中读取。
释放后重用 释放后重用 Use after Free (UAF) 该程序在已释放了内存后引用了该内存。这可能导致程序崩溃或意外程序行为。
使用悬空指针 已使用了悬空指针来引用无效的内存资源。
未初始化的变量 该程序正在变量初始化前使用该变量。
写入只读文件 该程序正对只读文件执行写操作

鉴释的自有规则集基于CERT和CVE的规则进行了进一步拓展。

爱科识与其它SAST工具有何不同?

为满足国内市场的需求,爱科识采用中文界面,为客户提供直观、简洁的使用体验。此外,爱科识整合多种分析方法、协同工作,帮助客户减少误报数量的同时,加深对程序执行方式的理解。

爱科识在Open64编译器的基础上, 采用数据流分析,上下文敏感分析和对象敏感分析,进行高质量的扫描。爱科识使用内存静态单赋值(SSA)管理资源分配和内存访问冲突。

 

 

 

传统SAST工具的不足之处

  • 目标代码扫描
    • - 对已知问题有效,但找不到未知或潜在问题
  • 源代码扫描
    • - 高误报率和高漏报率
    • - 分析不准确,无法处理复杂的程序逻辑或数据路径
    • - 部分分析不能跨模块或整个程序分析

鉴释的解决方案

  • 基于Open64编译器的程序分析引擎
  • 带有资源模型的优化内存SSA框架

有关爱科识的更多信息,请点击查看常见问题

想了解爱科识如何为您的
软件开发周期带来改变?

立即获取产品演示