在世界局势波谲云诡的今天,软件安全已成为国家和企业关注的核心议题,国家关键领域及产业的软件安全性将对国家安全和国计民生产生重要影响。
2013年7月10日,中国人民解放军总装备部发布了中华人民共和国国家军用标准 GJB-8114,全称为 8114-2013 《C/C++语言编程安全子集》,提出软件编程标准,以提高国家军用软件的安全性,并作为静态规则检查的依据。
自 GJB-8114 标准发布以来,国家关键领域的软件测评中心在执行测试时严格按照该标准进行代码检测,有效提升了软件的安全性性和可靠性。
然而,传统的代码审查方法依赖于人工阅读和检查代码。如果开发方提交的代码不符合标准,这将导致评测中心耗费大量时间和资源在静态代码审查上。因此,引入自动化检查工具以实现快速有效的代码规则检查显得尤为重要。
为此,我们非常荣幸地宣布,Gitee 旗下的静态代码扫描工具 Gitee Scan 现已全面支持 GJB-8114 标准,帮助相关单位和企业高效完成静态安全扫描工作,显著提高软件的整体质量和安全性,为国产软件的安全保驾护航。
什么是 Gitee Scan?
Gitee Scan 是一款静态代码扫描工具,静态源代码扫描是源码无需经过编译器编译,而直接使用一些扫描工具对其进行扫描,通过对源码语法、结构、风格、接口进行自动化的分析,找出代码当中存在的一些代码规范、语义缺陷、安全漏洞等问题。
全自动化分析
Gitee Scan 不仅支持多维度触发,支持本地插件插件的扫描,支持流水线、代码库触发的扫描,还贯穿整个研发过程全周期的扫描介入,帮助开发者在研发环节,准入环节,测试环节全自动化分析源代码,无需人工介入,并可和代码管理、流水线深度融合,在测试之前及时定位问题根源,保证研发质量,提高团队工作效率,降低软件开发测试成本,解决目前大多数企业中存在的产品不稳定、测试成本高、交付拖延等问题。
独创专利业界领先
Gitee Scan 采用独创代码执行链分析技术(已申请专利),结合平台海量代码缺陷数据,融合各开源工具优势,开发系列自研代码分析引擎 BCA,提供分布式、高并发代码扫描能力。除缺陷检查外,目前,该引擎已支持 BCA – Kotlin 、BCA-Java、BCA-OC、BCA-Cobol、BCA-SQL、BCA-C/C++ 等 19 门主流语言编码风格检查,符合公司编码规范要求,让团队成员保持统一的编码风格。
在不损失检出的情况下,Gitee Scan 的误报率基本小于 5%,已达业界领先水平。
多维扫描,灵活配置
Gitee Scan 支持多维度扫描,除支持代码缺陷、代码安全、编码规范等规则类扫描,同时提供代码度量、代码可维护性、代码重复块、开源风险等维度扫描;通过分析代码的重复块、重复率检测当前代码的复用情况,并提供代码质量报告。
同时 Gitee Scan 还提供灵活的扫描方案设置,提供包括规则集的组合以及自定义规则集的方式实现跨语言维度的自定义扫描设置。
丰富全面的结果报表
Gitee Scan 基于每次扫描提供全面的扫描报告,并支持报告的 PDF 导出。同时还会在在每次扫描的概览中统计问题增长趋势以及问题的分类,方便用户快速查看并了解代码扫描概况。
Gitee Scan 通过集成自研静态代码扫描引擎、开源扫描工具、商业扫描工具实现全方位无需编译的静态代码扫描,在全面支持 GJB-8114 标准后,Gitee Scan 更能帮助企事业单位在软件安全性上更上一层楼!
Gitee Scan 已经为国家海关总署、招商银行、光大银行、之江实验室等企事业单位和机构提供了服务。如果你也想和他们一起享受功能强大且高效的静态代码扫描服务,联系我们,将 Gitee Scan 部署于企业的私有服务器上,助力企业有效提升软件安全性。
