CodePecker产品具有很多突出的特征:
1)界面友好,全程中文支持提高效率
CodePecker的研发完全按照国内需求定制,采用全中文界面支持,无论是操作界面、支持的文件目录类型,还是输出的报告均为中文,大大提升了国内用户的使用方便程度,从而大幅提升了工作效率。CodePecker在使用过程中,操作简单易用,不需要复杂的检测流程,检测结果简单明了,并有详细的缺陷分析,同时提供了缺陷分析的追踪定位,用户只需要简单的操作鼠标,就能够对缺陷传播定位。同时鉴于开发人员对信息安全知识的了解,在缺陷类型中有着详细的缺陷点评,这样即使开发人员不熟悉此缺陷类型,通过缺陷点评也能迅速了解掌握此类缺陷予以修正。
2)实现云计算平台,实现规模合作
目前,对于源代码检测技术中较为发达的国外,产品还主要停留在单机软件层面,虽然目前也在不断地向SaaS的方向进行过渡,但还没有成熟的产品或服务推向市场。相较之下,CodePecker除了呈现给用户一个完美的单机版,已经将云计算的理念很好地融合,实现了云计算平台下的运行。整个软件的操作界面可以实现Web方式,用户可以通过网页进行操作,B/S的方式可以将操作系统的影响降到最低,只要有一台可以上网的电脑和浏览器,无论什么操作系统都可以使用CodePecker远程进行源代码扫描,不会因为测试人员或是开发人员的电脑配置影响扫描速度,扫描的速度完全取决于主机的性能。
3)产品符合国际标准,多维度覆盖安全问题
除了在云计算平台方面突出外,CodePecker的检测标准也达到了国际水平,大部分缺陷类型都可以映射到CVE和OWASP等权威国际安全组织公布的缺陷分类中。目前,CodePecker漏洞知识库已包含多种语言多达数百条缺陷类型,每条漏洞都有详尽的描述和修补建议。缺陷类型涵盖了常见操作系统、数据库、Web工程和应用程序的绝大多数可以远程利用的漏洞以及本地安全漏洞。缺陷检测覆盖常见的多种语言、多种缺陷类别,包括跨站注入、Sql注入、拒绝服务等高危缺陷漏洞类型,也包括空指针引用,资源为释放、变量未初始化等代码质量缺陷类型。由此看出,CodePecker从多个维度全面覆盖代码安全问题,并积极更新最新研究结果和关注国内外最新安全研究动态,同步更新研究成果,保证缺陷知识库内容的覆盖广度和深度。
4)高效快速分析缺陷,全面提高精准度
CodePecker的研发团队根据多年的源码检测经验和国内外安全信息缺陷结果的积累,通过对优化的数据流分析技术、缺陷类型的智能识别、检测规则依赖关系等源码扫描技术的运用,在源码检测速度和检测结果的准确性上起到了一个很好的平衡,既保证了检测的速度,又保证了缺陷检测的质量。同时,CodePecke采用业内领先的深度缺陷扫描分析技术,对同样的目标系统进行检测时,提供过程内(Intra-procedure)、过程间(Inter-procedure)等各种层次的分析,全面深入地开展缺陷检测,大大降低了检测结果中的误报率和漏报率,检测精度、准度高。
5)专属定制缺陷类型,大幅提高准确程度
CodePecke在检测源代码保证高效的同时,本身也可称为用户专属定制的“代码保护神‘’。之所以这么说,是是因为CodePecke系统本身包含了25个大类,169种的缺陷类型检测,用户可以根据具体的需求对被检测代码做一个全量分析,也可以根据业务需求,针对自己系统关心的缺陷进行定制检测。如在大型应用系统中,存在各系统中,存在各种级别的缺陷类型,检测结果可能偏多,会干扰错误排查,用户可只针对高危或者某几类类缺陷做有针对性的深度检测,只关注特定的缺陷类型,从而达到检测效果,大幅提高源代码的精准度。
