Xcheck(Application Security Development,应用安全开发),是一款由腾讯纯自研的静态代码分析工具,它是一款致力于检查 Web 类风险的 SAST(Static Application Security Testing,静态代码分析,无需编译)工具。
工具使用纯自研的语义识别和精准模型分析技术,优势在于扫描速度快、低误报、低漏报,同时还具备灵活的扩展功能和快速提升工具的识别能力。
主要功能:
扫描源码中符合污点传播模型的安全漏洞,例如:SQL 注入、命令注入、XXE 等。
支持6种语言:Java,PHP,Python,Node.js ,Go,C++。
支持集成到多种开发工具之中:包括vscode,idea,jenkins等。
功能模块展示:
一、首页概览
首页展示快速分析和项目管理中发起任务的分析概况(统计当前账户有权限访问的数据),包括项目和任务发起情况、缺陷统计等。
二、快速分析
快速检测用来发起一个快速的检测任务,不需要指定执行时间,发起之后若有空闲的引擎则可立即执行。
三、报告管理
报告管理提供报告的下载、发送邮件、查询和删除,如下图。在下载之前需要先导出报告,快速检测任务和项目管理任务都可导出报告。
四、查看风险代码
可以快速定位到风险代码位置,帮助开发者修改。
五、规则配置
缺陷规则库用来存放代码缺陷规则。在这可以查询和修改所有缺陷相关信息,还可以创建新的自定义缺陷规则,对非系统预置缺陷方案进行编辑。
默认涵盖了常见的代码缺陷规则。
Xcheck 使用的是污点分析和模拟执行的技术方案来检测代码中的安全漏洞。
这种方法与传统的白盒安全审计工具有所不同,后者通常依赖于庞大的规则库来匹配代码中的潜在问题,这就导致了高误报率和较低的检测效率。
Xcheck 内置了大量的框架信息和污点信息,这使得它能够更准确地追踪污点数据的传播,并识别出真正具有风险的代码路径。通过模拟执行,能够进一步验证这些风险路径是否会导致安全漏洞。
这种技术实现避免了对规则库进行过度细化,从而减少了误报和漏报的可能性。
为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
