应用安全开发有什么产品优势?
低误报
- 应用安全开发能够精确理解不同语言的语法特性,从而基本解决了因为不理解代码而造成的误报。
- 应用安全开发能够识别用户自定义的安全防护措施,从而进一步降低误报的概率。
低漏报
- 应用安全开发已经针对主流框架和风险函数内置了丰富的规则。
- 应用安全开发针对未支持的框架和函数,还可以通过自定义规则补充对应的识别能力。
- 对于简单的污染点,风险函数和过滤函数,用户自己可以通过客户端轻松编辑生成对应的规则。
- 对于复杂的框架适配,由应用安全开发研发团队统一对外提供。
速度快
应用安全开发拥有一套优秀的代码分析算法,在保证精准分析的前提下,解决了传统静态分析工具效率低的问题。
应用安全开发有什么应用场景?
代码安全审计
代替人工,自动化扫描源码中存在的安全漏洞。具备以下特点:
- 支持命令注入、SQL 注入、XSS、XXE、URL 跳转、文件上传、文件读取、文件删除、SSRF、反序列化、模板注入等漏洞类型。
- 提高了漏洞挖掘的效率,可以每天轻松完成扫描上万个项目。
- 沉淀了漏洞挖掘的技能,使得漏洞挖掘的工作不再依赖掌握特定技能的人员。
持续集成
作为代码安全质量检测门禁接入流水线,保证每次发布的代码没有已知类型的安全漏洞。
应用安全开发支持哪些语言的安全扫描?
目前支持6种语言:Java,PHP,Python,Node.js ,Go,C++。
应用安全开发是否支持 Android 应用源码漏洞扫描?
- 不支持。虽然应用安全开发支持 Java 语言,但是主要是用于扫描符合污染传递模型的漏洞 OWASP Top 10类的漏洞。
- 不仅仅是 Android 应用,非 Web 后台类的源码在默认情况下都不支持漏洞扫描。