自动化代码审计工具源伞科技Pinpoint

最新推荐文章于 2022-06-09 16:49:54 发布
最新推荐文章于 2022-06-09 16:49:54 发布
阅读量2.1k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 产品介绍
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SourceBrella/article/details/104061537
源伞科技的Pinpoint是一款基于人工智能的自动化代码审计工具,提供C++/C、Java、Android等多语言支持,采用第五代静态分析技术,确保高精度和强大的缺陷检测能力,尤其擅长空指针引用问题。该工具提供友好的WEB界面,易于集成到开发流程,如Jenkins、Sonarqube等,广泛应用于各类行业。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

自动化代码审计工具源伞科技Pinpoint介绍

源伞科技Pinpoint
源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分析和管理程序源码中数百种常见的高危程序缺陷,并清晰的展示缺陷触发的原因。由于具备人工智能软件逻辑推理能力,Pinpoint的检测准确度和缺陷发现能力均居于世界领先水平。仅面市半年,源伞产品便迅速被市场认可,目前已应用于大型互联网企业,电子消费制造商,金融业,智能设备企业,和权威软件测试机构。源伞立足于中国,以一流的产品和解决方案服务于中国软件开发商并逐步辐射全球企业,最终为推动软件质量和安全保障行业的技术升级而不懈努力。

支持语言

  • C++/C
  • Java
  • Android
  • Javascript
  • Php
  • Python
  • Golang
  • Sql

检测能力评析

源伞Pinpoint在C++/C和Java/Android上的分析能力十分强大,使用了第五代的静态分析定理证明技术,该技术在ICSE上发表论文,并且获得了国内外专家的高度好评。

其查找的Bug主要以三类为主,分别是质量和安全以及风格
其中缺陷的细分类别有

  • 质量
    API误用
    并发和时序错误<
最低0.47元/天 解锁文章
国产代码审计工具Pinpoint介绍
SourceBrella的博客
02-03 4677
硬核国产代码审计工具Pinpoint介绍 简介 Pinpoint是由国内科技所研制的一款静态代码审计工具科技公司是香港科技大学安全实验室的众多博士创建的,产品集成了实验室多年的研究成果,在众多国际顶级学术会议上都发表了成果论文,在学术界有很大的影响。近几年科技将静态代码检测产品Pinpoint成功商业化,目前产品已经比较成熟,能够方便的集成各种安全开发流程,操作界面流畅。能够直接扫描...
两款静态代码检测工具的对比
SourceBrella的博客
01-16 1305
测试背景 使用工具科技Pinpoint Sonarqube 测试项目: 开国产CMS软件iBase4J(6000行代码) 测试结果汇总 数据统计: SonarQube结果: 代码错误 安全隐患 风格质量 总量 有效/总量 2/6 4/4 0/93 6/103 科技Pinpoint结果: 代码错误 安全隐患 风格质量 总量 有效/...
科技Pinpoint和sonarQube对比
明天是Spring的博客
06-09 799
静态扫描工具对比
(二)pinpoint笔记:过滤不需要的类和包(无嵌套子包过滤)
Jomly Kellenda的博客
03-20 909
一、位置:pinpoint.config # Needs to be a comma separated list of method,if web application then value need is empty #监控用户自定义的指定方法或者指定类的所有方法或者指定包下所有类的方法或者指定包下递归包及类的所有方法 #创建默认动态转换注册器,这个是装载像spring这样,在通过运行时扫...
Pinpoint 安装介绍
liaonanfeng88的优快云博客
12-30 503
安装过程 :https://www.cnblogs.com/yyhh/p/6106472.html git地址:https://github.com/naver/pinpoint 插件生成借鉴:https://github.com/bbossgroups/pinpoint-plugin-generate
一款国产静态代码分析工具与Converity的对比
SourceBrella的博客
01-17 1274
科技Pinpoint,作为BAT都在使用的一款静态代码分析工具,到底有什么领先于其他厂商的能力? 1. 扩展和部署功能对比 科技Pinpoint现有的检查器可以通过简单的json配置文件扩展业务逻辑。比如敏感数据泄露到日志检查器,企业或许有很多自己的日志打印函数,我们可以通过人工配置指定,即可提高检测质量。 如果不想人工配置,Pinpoint有未公开发布的库函数学习工具,可以通过线下分析...
三大代码审计工具对比
SourceBrella的博客
01-21 4779
三大代码审计工具的对比(科技Pinpoint、Checkmarx、Fortify) 科技Pinpoint 科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分...
云效安全那些事儿-Codeup代码智能安全检测服务
BYvonne的博客
01-27 562
随着计算机技术在各行各业广泛而深入的应用,软件规模和调用链路逐渐复杂,潜在的代码安全问题和风险也日益增多。近几年安全漏洞频发,诸多知名软件被发现存在远程代码执行、隐私数据泄露、SQL注入等安全漏洞问题,造成企业资产损失。面对越来越复杂的安全场景和安全漏洞可能会带来的巨大损失,如何识别和管理潜在安全风险成了企业管理者和产研同学的一个不可忽视的问题。
5种阿里常用代码检测推荐 | 阿里巴巴DevOps实践指南
BYvonne的博客
01-19 659
随着业务演进和团队扩张,软件规模和调用链路越来越复杂。如若没有良好的代码检测机制,只依靠功能性验证,团队技术债会越累越高,开发团队往往要花费大量的时间和精力发现并修改代码缺陷,最终拖垮迭代进度、协作效率,甚至引发严重的安全问题。
分布式链路追踪工具pinpoint采样率原理分析
独行侠梦的博客
03-13 4641
前言一系列的服务上云后,可能分布在几千甚至几万台服务器上,服务与服务之间存在大量复杂的调用关系,而pinpoint在采集这些服务数据时,同样会产生大量的报文。在naver公司的在线门户服...
应用性能管理工具Pinpoint.zip
07-18
Pinpoint 是用 Java 编写的 APM(应用性能管理)工具,用于大规模分布式系统。在 Dapper 之后,Pinpoint 提供了一个解决方案,以帮助分析系统的总体结构以及分布式应用程序的组件之间是如何进行数据互联的。安装agent是无侵入式的对性能的影响最小(只增加约3%资利用率)支持的模块:JDK 6 Tomcat 6/7/8, Jetty 8/9Spring, Spring BootApache HTTP Client 3.x/4.x, JDK HttpConnector, GoogleHttpClient, OkHttpClient, NingAsyncHttpClientThrift Client, Thrift ServiceMySQL, Oracle, MSSQL, CUBRID, DBCP, POSTGRESQLArcus, Memcached, RedisiBATIS, MyBatisgson, Jackson, Json Liblog4j, Logback构建要求:JDK 6 installedJDK 8 installedMaven 3.2.x installedJAVA_6_HOME environment variable set to JDK 6 home directory.JAVA_7_HOME environment variable set to JDK 7 home directory.JAVA_8_HOME environment variable set to JDK 8 home directory.架构相关截图: 标签:Pinpoint
国内外主流静态分析类工具汇总
热门推荐
manok的专栏
07-27 2万+
笔者从事该软件安全方面工作,在工作和学习中收集了国内外比较主流的静态分析类工具,供大家参考。大多是资料来自于网络整理,如有不足或欠缺,还请在评论中指出。我进行修正。也欢迎同行多多交流。 我使用0标注北大软件CoBOT,因为他是国内第一款基于主流SAST技术的静态分析工具,填补了国内在缺陷检测、安全漏洞软件工具上的空白。值得称赞的工具。 0、北大软件CoBOT CoBOT(库博)是北京大学...
对某地铁app的一次静态扫描报告分析
SourceBrella的博客
01-19 360
本次分析从华为应用中心(app-store)下载的某地铁app 分析工具使用了科技Pinpoint 扫描结果 共计找到122个致命问题, 148个严重问题 375个中等问题以及 11537个建议改进问题。其中包括444个可能引起崩溃或异常的错误,277个安全隐私类问题以及897个执行效率低下问题。 现举例如下: 安全隐私高危漏洞: 漏洞 路径注入–该漏洞可以使得恶意攻击者覆盖任意文件 ...
静态代码扫描的原理
SourceBrella的博客
01-15 3880
静态代码扫描存在的价值 研发过程,发现BUG越晚,修复的成本越大 缺陷引入的大部分是在编码阶段,但发现的更多是在单元测试、集成测试、功能测试阶段 统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的 以上三点证明了,静态代码扫描在整个安全开发的流程中起着十分关键的作用,且实施这件事情的时间点需要尽量前移,因为扫描的节点左移能够大幅...
代码质量静态检测工具介绍
SourceBrella的博客
01-14 878
代码静态检测 程序静态分析(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术。目前静态分析技术向模拟执行的技术发展以能够发现更多传统意义上动态测试才能发现的缺陷,例如符号执行、抽象解释、值依赖分析等等并采用数学约束求解工具进行路径约减...
常用Java静态代码分析工具的分析与比较
刘伟技术博客
09-09 1万+
简介      本文首先介绍了静态代码分析的基本概念及主要技术,随后分别介绍了4种现有的主流Java静态代码分析工具 (Checkstyle,FindBugs,PMD,Jtest),最后从功能、特性等方面对它们进行分析和比较,希望能够帮助Java软件开发人员了解静态代码分析工具,并选择合适的工具应用到软件开发中。 引言      在Java软件开发过程中,开发团队往往要花费大量的时间和精力发现并修
5 款阿里常用代码检测工具,免费用!
阿里巴巴云原生的博客
09-09 1269
作者 | 喻阳 面临问题 在日常研发过程中,我们通常面临的代码资产问题主要分为两大类:代码质量问题和代码安全漏洞。 1、代码质量问题 代码质量其实是一个老生常谈的话题,但问题是大家都知道它很重要,却又不知道如何去提升和维护这一团队的共同财产。一方面开发人员可能为了功能及时上线,疏忽了对质量的把控,另一方面开发人员编码习惯和程序理解风格各异。 长期下来代码质量下降通常会自成因果,因为业务压力大而趋于下降,又因此开发效率下降,进一步加大业务压力,导致恶性循环。 2、代码安全问题 安全类问题往往隐藏在缺乏安全意识
微服务 全链路监控工具pinpoint 安装配置pinpoint服务
小楼一夜听春雨,深巷明朝卖杏花
06-16 1001
order,product,stock,eureka,gateway,portal进行全链路监控 [root@monitor ~]# ls pinpoint-docker-2.0.1 pinpoint-docker-2.0.1.zip [root@monitor ~]# cd pinpoint-docker-2.0.1 [root@monitor pinpoint-docker-2.0.1]# ls docker-compose.yml pinpoint-agent
pinpoint代码审计
最新发布
03-08
### Pinpoint 代码审计工具概述 Pinpoint 是一种专注于性能监控和诊断的开 APM (Application Performance Management) 工具,主要用于 Java 应用程序。虽然 Pinpoint 主要功能在于实时追踪应用程序的行为并发现潜在瓶颈,但在特定场景下也可以辅助进行代码审计工作。 对于希望利用 Pinpoint 进行代码审计的情况,可以考虑以下几个方面: #### 配合其他专用的安全分析工具 由于 Pinpoint 并不是专门设计用来做安全性审查或漏洞检测的工具,在执行严格意义上的代码审计时应当与其他更专业的解决方案相结合使用。例如 Fortify SCA 可以通过其独特的 X-Tier Dataflow™ analysis 技术来识别码中存在的安全风险[^2]。而 Pinpoint 则可以从运行时的角度补充这些静态分析的结果,提供关于实际操作行为的数据支持。 #### 使用 Pinpoint 的特性优化审计流程 尽管 Pinpoint 不是传统意义下的代码审计工具,但仍然可以通过以下方式增强整个过程的有效性和效率: - **全面的日志记录**:借助 Pinpoint 提供的强大日志收集能力,能够获取到详尽的应用调用链路信息,这对于理解复杂业务逻辑非常有帮助。 - **异常捕捉机制**:当被监测的服务抛出了未处理过的错误时,Pinpoint 能够及时捕获并将之呈现给开发者,有助于快速定位问题所在位置。 - **性能指标对比**:通过对不同版本间各项 KPI 数据变化趋势的研究,可以帮助判断新引入的功能是否带来了负面的影响,间接反映出某些可能存在的缺陷。 ```java // 示例:如何配置 Pinpoint 来跟踪某个方法的执行情况 public class ExampleService { @Trace // 添加此注解使该函数成为追踪目标 public void performCriticalOperation() { try { // 执行核心业务逻辑... } catch (Exception e) { logger.error("Error occurred during critical operation", e); throw new RuntimeException(e); // 让 Pinpoint 捕捉到这个异常事件 } } } ``` #### 实施最佳实践建议 为了最大化发挥 Pinpoint代码审计中的价值,推荐遵循如下几点原则: - 尽早集成:尽早将 Pinpoint 整合进项目生命周期当中,以便于在整个开发过程中持续积累有用的信息。 - 自动化部署:确保每次构建都能自动更新对应的 Pinpoint Agent 版本,并将其无缝嵌入 CI/CD 流水线之中[^1]。 - 定期回顾:定期审视由 Pinpoint 收集的各项数据,寻找任何不寻常模式或是表现不佳的地方加以改进。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值