CodePecker 源代码缺陷分析系统 V4.0.pdf

®

CodePecker

安全解决方案

源代码缺陷分析

CodePecker源代码缺陷分析系统V4.0

白皮书

北京酷德啄木鸟信息技术有限公司

目录

1.产品概述1

2.主要功能2

2.1.架构图2

2.2.检测能力3

2.3.检测项目管理3

2.4.图形化展示和缺陷定位追踪6

2.5.缺陷类型规则定制7

2.6.函数白名单8

2.7.开源组件检测8

2.8.统计分析9

2.9.检测报告10

2.10.缺陷知识库12

2.11.与外部系统的集成整合13

3.自主知识产权及销售许可证15

4.产品形态及参数15

CodePecker源代码缺陷分析系统V4.0白皮书

1.产品概述

CodePecker源代码缺陷分析系统V4.0是北京酷德啄木鸟信息技术有限公司采用业界领先

的源代码静态分析技术开发的一款针对源代码缺陷进行静态分析检测的产品，是国内第一款成

熟的源代码缺陷分析产品。CodePecker由酷德啄木鸟公司自主研发，具有完全自主知识产权。

它在对目标软件代码进行语法、语义分析的技术上，辅以数据流分析、控制流分析和特有的缺

陷分析算法等高级静态分析手段，能够高效的检测出软件源代码中的可能导致严重缺陷漏洞和

系统运行异常的安全问题和程序缺陷，并准确定位告警，从而有效的帮助开发人员消除代码中

的缺陷、减少不必要的软件补丁升级，为软件的信息安全保驾护航。

CodePecker是北京酷德啄木鸟信息技术有限公司的核心品牌，北京酷德啄木鸟信息技术

有限公司是一家专注于软件源代码信息安全业务的高新技术企业。公司成立于2013年，由多

位信息安全领域资深专家发起成立，为政府、金融、电信、能源、互联网等各行业用户提供源

代码缺陷审计产品及服务，帮助客户保障源代码安全。

©2019CodePecker

-1-

CodePecker源代码缺陷分析系统V4.0白皮书

2.主要功能

CodePecker提供企业级的软件安全开发生命周期管理，包括：检测项目管理、源代码缺

陷分析、自动化检测、全流程缺陷管理、源代码安全评级、缺陷查询定位、缺陷审计、代码缺

陷统计分析、检测规则配置管理、检测报告、函数白名单、检测目标基线设置、Bug管理系统

集成、代码库集成、缺陷知识库等多项强大的功能。CodePecker使得软件源代码缺陷分析和

审计工作实现了系统化管理，使得开发人员、测审计人员和管理人员在一个平台上都能够简单

地、高效地完成代码审计工作，帮助客户形成一套完整的源代码质量管理流程和体系，提高整

体编码质量和水平，为客户的信息安全助力护航。

2.1.架构图

©2019CodePecker

-2-

CodePecker源代码缺陷分析系统V4.0白皮书

2.2.检测能力

CodePecker基于市场领先的缺陷检测引擎和规则库，支持对Java/JSP、C、C++、C#、PHP、

Python、Objective-C、HTML5、JavaScript、SQL等主流编程语言开发的软件源代码安全缺陷

的检测。

支持对源代码安全缺陷和质量缺陷的检测。检测结果涵盖代码注入、跨站脚本、缓冲区溢

出、配置错误、API误用、拒绝服务、未验证的用户输入、弱加密问题、信息泄露、危险函数

等类型，共1000多个缺陷类型。

检测缺陷可按照CWE、OWASPTop10、CVE、WASC、NIST、PCI等国际组织或行业安全标准

进行分类、分级。

支持分析百万行级别的源代码，检测