White Source是一家AST（應用程序安全測試）領域的專業(yè)供應商，專注于信息安全咨詢與缺陷研究。White Source提供的SAST產品旨在使用靜態(tài)應用程序安全測試(SAST、白盒測試)技術，分析和測試應用程序的安全漏洞。White Source SAST 產品檢測自定義代碼缺陷的速度比傳統 SAST 產品快 10 倍。它與軟件開發(fā)人員現有的工作流程和開發(fā)環(huán)境無縫集成，因此他們可以在編寫代碼時輕松觸發(fā)安全測試。

軟件漏洞是公司或組織所面臨的嚴峻的安全挑戰(zhàn)。黑客會利用軟件漏洞危害公司安全，造成信息、金錢上的損失，擾亂業(yè)務運作。這樣的事故會造成各種直接或間接的損害，包括負面公關以及客戶喪失信心等。根據《福布斯》雜志2018年的數據，數據安全漏洞造成的平均損失為791萬美元。

為此，White Source的SAST產品提供了軟件漏洞檢測的解決方案：專注于創(chuàng)建自定義代碼漏洞檢測、優(yōu)先級和自動修復，使開發(fā)人員能夠快速輕松地識別和修復重要的軟件風險。

White Source SAST

——針對信息安全的代碼靜態(tài)分析工具

產品介紹

White Source SAST是一個SAST(靜態(tài)應用程序安全測試、白盒測試)解決方案，用于對應用程序源代碼執(zhí)行廣泛的安全分析。White Source SAST易于使用，幾乎不需要用戶輸入，可以在開發(fā)期間或開發(fā)之后部署。它可以通過自動化代碼分析的方式，有效替代高要求并且耗時的人工代碼審查過程。White Source SAST可以快速并準確地分析大型和復雜項目的源代碼，提供準確的結果和低誤報率。

廣泛的適用性

White Source SAST支持C/C++、C#、Java、PHP、ASP、VB.Net、Visual Basic、VB Script、Python、Ruby、Java Script、Type Script、Node.js、Android Java、IOS Objective C、PL/SQL、Cold Fusion、Groovy、COBOL等多種開發(fā)語言/框架，覆蓋當前多數開發(fā)平臺。

White Source SAST可以在服務器上部署為Web應用，并通過網頁方便地訪問，并提供強大的RESTAPI以供通過Windows、Linux或Mac平臺進行調用。也可以直接部署為Windows桌面版。White Source SAST支持與Git、TFS、SVN等版本控制系統進行集成，便于代碼管理。

漏洞覆蓋

White Source SAST能夠為使用不同開發(fā)環(huán)境和框架，在不同平臺上開發(fā)的應用程序掃描多達30多種漏洞類型（其中包括OWASP Top10），其中一些如下：

SQL注入

XPATH注入

文件泄漏

郵件轉發(fā)

跨站腳本攻擊

弱加密

危險配置項

代碼注入

危險的文件擴展名

Shell命令執(zhí)行

HTTP響應分拆攻擊

信息泄漏

LDAP注入

應用&案例

White Source SAST在汽車、金融、互聯網等領域均有應用：