GosstaliTest静态代码审计工具
| 一、产品概述
Gosstal iTest 是一款采用业界领先静态分析技术研发的源代码缺陷检测系统,核心目标是助力开发团队在编码阶段快速识别并修复安全漏洞与程序缺陷。该工具具备多语言、多框架兼容能力,融合高精度检测、可视化审计、DevSecOps 深度集成等核心特性,为企业构建安全、高效、高质量的软件交付体系提供关键支撑。
二、核心特性 (一)快速准确的静态分析 – 多语言兼容:全面支持 Java、C/C++、PHP、Python、JavaScript、Go、Kotlin 等主流开发语言,无需编译即可直接对源代码开展分析,适配多样化项目研发场景。 – 高精度检测技术:基于数据流、控制流、语义分析等高级静态分析算法,支持过程内与过程间分析,大幅降低误报率与漏报率,提升缺陷识别精准度。 – 增量分析优化:支持仅对变更代码及关联引用部分执行分析,无需全量扫描,显著提升检测效率,适配敏捷开发模式与迭代节奏。
(二)可视化缺陷管理与审计 – 图形化交互支撑:配备缺陷可视化呈现、精准追踪定位、专业化修复建议及知识库联动功能,为开发人员提供清晰的缺陷溯源依据与高效修复指引,降低问题排查成本。 – 全生命周期管控:实现缺陷从分配、审计、修复到验证闭环的全流程管理,规范缺陷处理流程,确保每个问题都能被有效跟进与解决,提升团队协作效率。 – 智能审计优化:支持批量审计操作、历史审计数据导入及算法自动学习能力,可沉淀审计经验、适配业务场景迭代,大幅减少重复人工审计工作,提升审计效率与准确性。
(三)DevSecOps 流程深度集成 – 版本控制对接:无缝集成 Git、SVN 等主流版本控制系统,支持自动化拉取源代码并触发检测,实现编码提交环节的安全校验前置。 – 工具链协同兼容:可与 Jenkins 等 CI/CD 工具联动触发检测任务,同时支持与 JIRA、Bugzilla 等缺陷管理系统深度对接,实现缺陷数据自动同步,打通“检测-上报-修复”链路。 – 开放接口拓展:提供标准化 REST API,支持与企业现有 CI/CD 流程深度融合,满足自动化、定制化的代码安全检测需求。
(四)灵活的规则与项目管理 – 规则自定义适配:支持自定义缺陷检测规则集,可依据项目类型、业务场景及安全等级阈值,灵活调整检测范围与判定标准,适配不同行业合规需求。 – 误报优化机制:提供函数白名单配置功能,可手动标注可信函数或代码片段,有效过滤合法业务场景下的误报信息,提升检测结果有效性。 – 多维度项目管控:支持多项目、多团队并行管理,配备精细化权限控制体系(数据权限、操作权限分级分配)及全维度统计分析功能,可生成项目审计报告、团队效能报表,助力管理层掌握整体代码安全态势。
(五)开源组件安全检测 – 权威漏洞库集成:内置CVE、CNNVD等主流权威漏洞数据库,实时同步漏洞库更新,精准识别项目中引入的脆弱开源组件及依赖项。 – 全维度风险赋能:针对识别出的开源组件漏洞,提供详细漏洞描述、危害等级、影响范围、修复方案及替代组件建议,同时支持漏洞影响评估,辅助团队优先处置高风险问题。
三、支持的语言 全面覆盖前后端、移动端及传统桌面应用开发场景,支持语言包括: – Java / JSP – C / C++ – PHP – Python – JavaScript – Go – Kotlin – Swift – Objective-C – SQL – Fortran
四、支持的集成与平台 (一)版本控制系统 – Git:无缝对接主流分布式版本控制工具,支持分支筛选、提交记录关联检测。 – SVN:兼容集中式版本控制系统,支持按目录、版本号精准拉取源代码进行检测。 (二)缺陷管理系统 – JIRA:实现缺陷数据自动同步至JIRA工单,支持工单状态反向联动更新,打通检测与修复闭环。 – Bugzilla:兼容开源缺陷管理工具,支持缺陷详情、修复建议一键导入,适配轻量级团队协作场景。 (三)CI/CD工具 – Jenkins:支持通过插件或脚本触发自动化检测任务,可嵌入CI/CD流水线任一环节,实现代码提交即检测的自动化安全管控。 (四)操作系统 – Windows 64位:适配Windows Server系列操作系统,满足桌面级及小型服务器部署需求。 – CentOS 7 64位 / RedHat 7 64位:兼容主流企业级Linux发行版,支持高稳定性服务器部署。 – 国产化操作系统:适配统信服务器操作系统、麒麟高级服务器操作系统,满足政企单位国产化替代需求。
五、关键检测能力 – 代码注入:精准检测SQL注入、命令注入、路径注入等各类注入漏洞,防范恶意代码执行风险。 – 跨站脚本(XSS):识别存储型、反射型XSS漏洞,阻断脚本注入攻击对用户数据的窃取与篡改。 – 缓冲区溢出:针对C/C++等语言,检测数组越界、堆栈溢出等问题,避免程序崩溃或权限被篡改。 – 不安全的数据处理:识别敏感数据明文存储、未加密传输、非法数据转换等违规操作,保障数据安全。 – 信息泄露:检测日志、代码注释、接口返回中泄露的密钥、账号、路径等敏感信息。 – 弱加密算法:识别MD5、SHA-1等不安全加密算法及弱密钥、硬编码密钥等问题,提供加密方案优化建议。 – 配置错误:检测服务器配置、框架配置、权限配置中的不合理项,降低配置疏漏引发的安全风险。 – API误用:识别第三方API、系统API的不规范调用,包括参数缺失、权限不足、返回值未校验等问题。 – 资源泄漏:检测文件句柄、数据库连接、内存等资源未正常释放的问题,避免系统性能退化或崩溃。 – 空指针引用:针对Java、C/C++等语言,检测空指针未判空就调用的风险,防范程序异常崩溃。 – 并发安全问题:识别线程同步失效、死锁、竞态条件等问题,保障多线程程序运行稳定性。 – 开源组件漏洞:联动权威漏洞库,全面检测项目依赖的开源组件及子依赖中的已知安全漏洞。
六、产品形态 产品形态 详细说明 硬件一体机 集成标准服务器(配置:CPU E5-2620*2、128GB内存、4TB存储),预装系统及工具,开箱即用,无需额外部署调试,降低运维成本。 纯软件部署 支持在企业自有服务器上部署,硬件最低要求:32核2.0GHz CPU、128GB内存、4TB存储,适配企业现有IT架构。 并发检测 默认支持4路并发检测任务,可根据企业业务需求及服务器配置灵活扩展,提升多项目并行检测效率。 授权模式 采用永久许可证授权,无检测次数、检测代码量限制,适配企业长期业务发展需求。
七、合规与认证 工具通过多项权威合规认证,满足政企单位安全合规及准入要求,具体包括: – ISO 9001 质量管理体系认证 – ISO 27001 信息安全管理体系认证 – CCRC 信息安全服务资质认证 – 计算机信息系统安全专用产品销售许可证 – 国家信息安全漏洞库(CNNVD)兼容性认证 – 国产操作系统兼容认证(统信、麒麟系列) |