White Source是一家AST（應(yīng)用程序安全測試）領(lǐng)域的專業(yè)供應(yīng)商，專注于信息安全咨詢與缺陷研究。White Source提供的SAST產(chǎn)品旨在使用靜態(tài)應(yīng)用程序安全測試(SAST、白盒測試)技術(shù)，分析和測試應(yīng)用程序的安全漏洞。White Source SAST 產(chǎn)品檢測自定義代碼缺陷的速度比傳統(tǒng) SAST 產(chǎn)品快 10 倍。它與軟件開發(fā)人員現(xiàn)有的工作流程和開發(fā)環(huán)境無縫集成，因此他們可以在編寫代碼時輕松觸發(fā)安全測試。

      軟件漏洞是公司或組織所面臨的嚴峻的安全挑戰(zhàn)。黑客會利用軟件漏洞危害公司安全，造成信息、金錢上的損失，擾亂業(yè)務(wù)運作。這樣的事故會造成各種直接或間接的損害，包括負面公關(guān)以及客戶喪失信心等。根據(jù)《福布斯》雜志2018年的數(shù)據(jù)，數(shù)據(jù)安全漏洞造成的平均損失為791萬美元。

      為此，White Source的SAST產(chǎn)品提供了軟件漏洞檢測的解決方案：專注于創(chuàng)建自定義代碼漏洞檢測、優(yōu)先級和自動修復(fù)，使開發(fā)人員能夠快速輕松地識別和修復(fù)重要的軟件風(fēng)險。

White Source SAST——針對信息安全的代碼靜態(tài)分析工具

-產(chǎn)品介紹

      White Source SAST是一個SAST(靜態(tài)應(yīng)用程序安全測試、白盒測試)解決方案，用于對應(yīng)用程序源代碼執(zhí)行廣泛的安全分析。White Source SAST易于使用，幾乎不需要用戶輸入，可以在開發(fā)期間或開發(fā)之后部署。它可以通過自動化代碼分析的方式，有效替代高要求并且耗時的人工代碼審查過程。White Source SAST可以快速并準確地分析大型和復(fù)雜項目的源代碼，提供準確的結(jié)果和低誤報率。

-廣泛的適用性

      White Source SAST支持C/C++、C#、Java、PHP、ASP、VB.Net、Visual Basic、VB Script、Python、Ruby、Java Script、Type Script、Node.js、Android Java、IOS Objective C、PL/SQL、Cold Fusion、Groovy、COBOL等多種開發(fā)語言/框架，覆蓋當(dāng)前多數(shù)開發(fā)平臺。

      White Source SAST可以在服務(wù)器上部署為Web應(yīng)用，并通過網(wǎng)頁方便地訪問，并提供強大的RESTAPI以供通過Windows、Linux或Mac平臺進行調(diào)用。也可以直接部署為Windows桌面版。White Source SAST支持與Git、TFS、SVN等版本控制系統(tǒng)進行集成，便于代碼管理。

-漏洞覆蓋

      White Source SAST能夠為使用不同開發(fā)環(huán)境和框架，在不同平臺上開發(fā)的應(yīng)用程序掃描多達30多種漏洞類型（其中包括OWASP Top10），其中一些如下：

· SQL注入

·XPATH注入

· 文件泄漏

·郵件轉(zhuǎn)發(fā)

·跨站腳本攻擊

· 弱加密

· 危險配置項

·代碼注入

·危險的文件擴展名

· Shell命令執(zhí)行

· HTTP響應(yīng)分拆攻擊

·信息泄漏

· LDAP注入

應(yīng)用&案例

      White Source SAST在汽車、金融、互聯(lián)網(wǎng)等領(lǐng)域均有應(yīng)用：