數(shù)字化時代軟件已經(jīng)成為人類社會基礎設施的重要組成部分，軟件與個人生活、社會民生、國家發(fā)展均日漸緊密，如何更好的保障軟件安全成為各行業(yè)關注的焦點。

相關數(shù)據(jù)顯示，75%的黑客攻擊發(fā)生在應用層。一款軟件產(chǎn)品從開發(fā)，測試，上線，在各個階段均存在引入安全風險的可能，例如危險開源組件的使用、自研代碼缺陷漏洞引入、容器鏡像漏洞引入等。這些風險會導致軟件系統(tǒng)的整體安全防護難度越來越大，以上這些風險，統(tǒng)稱為軟件供應鏈安全風險。

SOFAStack靜態(tài)代碼安全掃描產(chǎn)品Pinpoint是國內(nèi)應用實踐最廣泛的靜態(tài)代碼安全產(chǎn)品之一，近期首批入選中國信通院「軟件供應鏈安全」產(chǎn)品名錄，并通過了公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢測中心權威測評，符合《信息安全技術軟件源代碼安全缺陷產(chǎn)品檢測條件》相關要求。

左移測試，Pinpoint實現(xiàn)靜態(tài)代碼掃描

靜態(tài)代碼掃描是指在不運行代碼的方式下，通過詞法分析、語法分析、控制流、數(shù)據(jù)流分析等技術對軟件代碼進行掃描，驗證代碼是否滿足規(guī)范性、安全性、可靠性、可維護性等指標的一種代碼分析技術。

五大優(yōu)勢，快速完成百萬行代碼檢測

SOFAStack靜態(tài)代碼安全掃描產(chǎn)品Pinpoint通過自研的分析引擎技術，能夠在均衡分析精度、速度、深度的同時得到較好的分析結(jié)果。產(chǎn)品無需構(gòu)造測試用例，即可自動尋找軟件編碼錯誤，可以讓程序員迅速理解和修復問題，從而投入更多的時間到創(chuàng)造性的工作中。

• 分析能力精準：Pinpoint采用了更為先進的靜態(tài)分析技術，能找到更多和更難以人工找到的軟件問題。這主要得益于Pinpoint獨創(chuàng)的符號約束模型，高精度的指針分析和快速的約束求解算法，能對大型軟件進行精確的全路徑和深度的函數(shù)調(diào)用上下文分析，減少誤報產(chǎn)生。
• 覆蓋全面：Pinpoint的分析能力覆蓋完整系統(tǒng)，進行跨模塊跨函數(shù)的全文分析。多套分析引擎可同時覆蓋代碼安全漏洞，代碼質(zhì)量缺陷，代碼風格合規(guī)等分析場景。
• 分析快速：對于動輒上百萬行代碼，且每分鐘都在更新的大型軟件而言，極難做到快速反應。Pinpoint采取多檔位掃描技術，用輕量級分析，快速查找邏輯相對簡單的錯誤。根據(jù)測試，對于Java代碼，Pinpoint能在1小時內(nèi)完成百萬行代碼級別的項目分析。
• 適應不同分析場景：Pinpoint是市面上唯一一款可覆蓋源代碼掃描，二進制審計，應用依賴審計三種分析方式的靜態(tài)分析產(chǎn)品。適應系統(tǒng)外包開發(fā)，系統(tǒng)內(nèi)部開發(fā)，系統(tǒng)增量部署，中間件封裝等多種開發(fā)場景。對于沒有代碼的應用，Pinpoint能夠基于反編譯后的代碼進行展示，達到函數(shù)級別的代碼匹配。
• 易于理解和修復的缺陷解釋：在具有優(yōu)越的找錯能力的同時，Pinpoint 能夠給出準確的錯誤觸發(fā)路徑，以此來助力程序員理解和修復發(fā)現(xiàn)的軟件問題。

典型案例：金融、制造多領域落地應用

目前，Pinpoint產(chǎn)品已經(jīng)在金融、制造、教育、互聯(lián)網(wǎng)等行業(yè)規(guī)?；涞貙嵺`，包括南京銀行、浙江農(nóng)信、中泰證券、珠海格力、廣東電網(wǎng)等。

中泰證券，Pinpoint產(chǎn)品與中泰自研蜂鳥效能平臺項目進行對接，在集成構(gòu)建階段，實現(xiàn)源代碼的自動化掃描，滿足證券行業(yè)《證券公司網(wǎng)絡和信息安全三年提升計劃（2023-2025）》相關要求。

在廣東電網(wǎng)信息測評實驗室，Pinpoint支撐了ARM架構(gòu)下運行的程序的源代碼分析工作，支持源代碼掃描與分析、代碼掃描策略配置、缺陷管理、安全知識庫等功能，幫助實驗室建立了自主可控操作系統(tǒng)下的源代碼分析的能力，完成多編程語言的源代碼安全缺陷分析工作。

珠海格力，基于Pinpoint增強的C/C++掃描能力，產(chǎn)品支持格力在嵌入式場景下錯誤異常處理，邏輯錯誤，內(nèi)存與資源誤用等問題檢測，滿足中國電子行業(yè)軟件測試標準SJ/T 11682-2017（C/C++）標準，幫助格力更好的進行智能裝備關鍵技術及產(chǎn)品的研發(fā)。文章來源地址http://www.zghlxwxcb.cn/news/detail-734618.html

到了這里，關于左移測試，如何確保安全合規(guī)還能實現(xiàn)高度自動化？的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！