自动化代码审计工具源伞科技Pinpoint介绍
源伞科技Pinpoint 源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分析和管理程序源码中数百种常见的高危程序缺陷,并清晰的展示缺陷触发的原因。由于具备人工智能软件逻辑推理能力,Pinpoint的检测准确度和缺陷发现能力均居于世界领先水平。仅面市半年,源伞产品便迅速被市场认可,目前已应用于大型互联网企业,电子消费制造商,金融业,智能设备企业,和权威软件测试机构。源伞立足于中国,以一流的产品和解决方案服务于中国软件开发商并逐步辐射全球企业,最终为推动软件质量和安全保障行业的技术升级而不懈努力。
支持语言
- C++/C
- Java
- Android
- Javascript
- Php
- Python
- Golang
- Sql
检测能力评析
源伞Pinpoint在C++/C和Java/Android上的分析能力十分强大,使用了第五代的静态分析定理证明技术,该技术在ICSE上发表论文,并且获得了国内外专家的高度好评。
其查找的Bug主要以三类为主,分别是质量和安全以及风格 其中缺陷的细分类别有
- 质量 API误用 并发和时序错误 错误和异常处理缺陷 逻辑错误 内存和资源误用 数值计算错误 类型和封装
- 安全 输入验证与表示 隐私数据泄露 安全策略管理
- 风格 代码风格和效率
值得一提的是,该工具在查找空指针引用问题上的能力十分强大,无论是准确率还是查找速度,都在行业内是十分领先的
界面操作
该工具主要以WEB界面为主要操作界面,部署在服务器上后,可以通过浏览器访问对应服务,即可进行操作,操作界面功能齐全,整体来说十分流畅,对用户来说比较友好 在报告界面,对于检测出的缺陷有十分详细的过滤以及状态标注,十分方便管理人员进行查阅
集成方便
Pinpoint目前提供了以下几种工具服务的集成
- Jenkins
- Sonarqube
- Eclipse
- intellij idea
- Gitlab等常用代码库
对于安全开发有一套相当成熟的解决方案
为国产静态检测工具源伞科技Pinpoint打Call!
来源:oschina
链接:https://my.oschina.net/u/4439431/blog/3160751