国产代码审计工具Pinpoint介绍

最新推荐文章于 2024-12-26 16:54:57 发布
原创 最新推荐文章于 2024-12-26 16:54:57 发布 · 4.7k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

Pinpoint是一款由源伞科技研发的静态代码审计工具,具备高精度的定理证明分析器,能有效扫描Java二进制文件。它在Java和C/C++上的分析能力强,扫描速度快,并为企业的高并发CI/CD场景提供了定制的高可用部署方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

硬核国产代码审计工具Pinpoint介绍

简介

Pinpoint是由国内源伞科技所研制的一款静态代码审计工具,源伞科技公司是香港科技大学安全实验室的众多博士创建的,产品集成了实验室多年的研究成果,在众多国际顶级学术会议上都发表了成果论文,在学术界有很大的影响。近几年源伞科技将静态代码检测产品Pinpoint成功商业化,目前产品已经比较成熟,能够方便的集成各种安全开发流程,操作界面流畅。能够直接扫描JAVA的二进制文件,在Java和c/c++两种语言上的分析能力十分强大,扫描速度普遍快于市面上现有的产品,且拥有众多国内一线互联网以及金融公司的安全开发实例经验,不仅能够输出工具产品,也能够提供安全开发的解决方案,在国内静态代码分析领域处于领先地位。

高精度高性能的定理证明分析器

众所周知,传统的静态代码扫描技术中,主要有以下四种分析和检查原理

  • 缺陷模式匹配
    事先从代码分析经验中收集足够多的共性缺陷模式,将待分析代码与已有的共性缺陷模式进行匹配,从而完成软件安全分析。优点:简单方便;缺点:需要内置足够多的缺陷模式,容易产生误报。

  • 类型推断/类型推断
    类型推断技术是指通过对代码中运算对象类型进行推理,从而保证代码中每条语句都针对正确的类型执行。

  • 模型检查
    建立于有限状态自动机的概念基础上。将每条语句产生的影响抽象为有限状态自动机的一个状态,再通过分析有限状态机达到分析代码目的。校验程序并发等时序特性。

  • 数据流分析
    从程序代码中收集程序语义信息,抽象成控制流图,可以通过控制流图,不必真实的运行程序,可以分析发现程序运行时的行为。

而Pinpoint在这些基础上进行了科研创新,研发出了新一代的定理证明技术,该技术在众多的国际顶级学术会议上都发表了论文并且得到了国内外该领域专家的一致认可和好评。

那么什么是定理证明技术呢?我们可以举一个例子来说明。

最低0.47元/天 解锁文章

200万优质内容无限畅学
自动化代码审计工具源伞科技Pinpoint
SourceBrella的博客
01-21 2203
自动化代码审计工具源伞科技Pinpoint介绍 源伞科技Pinpoint 源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分析和管理程序源码中数百种常见的高危程序缺...
一款好用的国产软件源代码缺陷分析平台 — CodeSense
ubisectech的博客
03-17 4246
采用业界先进的值流图分析技术,能够实现跨程序/跨文件的上下文敏感分析与对象敏感分析,精准的检测软件安全漏洞与质量缺陷,结合独有的智慧减负与黑白名单技术,服务于安全部门或研发团队。
第43篇:国内商用代码审计工具CodePecker啄木鸟的使用教程
ABC_123的博客
01-04 2622
Part1 前言最近感染了新冠,大病初愈,没有气力写复杂的文章了,就抽空把《代码审计工具系列教程》写完吧,前面几期介绍了商用代码审计工具Fortify、Checkmarx、Coverity、Klocwork的使用,同时也着重介绍了国内少有人提起的Fortify命令行的使用方法,方便大家调用Fortify命令行程序进行自动化代码审计平台的开发。在此之前介绍代码审计工具都是国外的,国内的商用代码...
代码审计工具汇总
10-06
配套 【随 亦】的博客《代码审计--8--环境搭建+工具使用》一文的资料。注意文档哦
代码审计工具
weixin_40855279的博客
08-13 2864
一般工具导出的报告,可读性较差,可以作为编写代码审计报告的参考,但是无法作为代码审计报告直接提交,给客户提交的代码审计报告需要自行编写。:根据实际情况进行选择,也可以全部选择默认,有些客户不想解决代码质量问题,或者只想关注远程能被利用的漏洞,则前两个问题就选择选项3即可。如果年限过久,规则库需要升级,一般license是有限制的,无法在线升级,其他方法就是通过其他渠道获取一个最新的规则库,手工对。,高级选项,如果需要扫码的源代码是非Java代码,就需要选择高级选项,工具支持大部分主流开发语言的扫描
伞源科技Pinpoint和sonarQube对比
明天是Spring的博客
06-09 800
静态扫描工具对比
三大代码审计工具对比
SourceBrella的博客
01-21 4867
三大代码审计工具的对比(源伞科技Pinpoint、Checkmarx、Fortify) 源伞科技Pinpoint 源伞科技2016年由香港科大团队创立,立足于国际水平的学术研究积累, 秉承工匠精神,致力用最先进的自动程序分析技术保障软件质量,为企业提供以人工智能为基础的工业级程序缺陷自动挖掘技术,工具和解决方案。核心产品Pinpoint可无缝接入到软件开发人员和测试人员的现有工作流程中,全面自动分...
亲测好评:国产开源APM运维监控
SRE运维部落
04-21 2385
【关注公众号“SRE运维部落”,文章下回复可随时交流】SkyWalking简介上期给大家介绍到韩国开源版APM监控pinpoint,今天给大家介绍国产开源版APM告警软件,也是一款社...
静态代码扫描的原理
SourceBrella的博客
01-15 3895
静态代码扫描存在的价值 研发过程,发现BUG越晚,修复的成本越大 缺陷引入的大部分是在编码阶段,但发现的更多是在单元测试、集成测试、功能测试阶段 统计证明,在整个软件开发生命周期中,30% 至 70% 的代码逻辑设计和编码缺陷是可以通过静态代码分析来发现和修复的 以上三点证明了,静态代码扫描在整个安全开发的流程中起着十分关键的作用,且实施这件事情的时间点需要尽量前移,因为扫描的节点左移能够大幅...
全链路监控之pinpoint
cgk_ALEM的博客
12-26 1203
CATALINA_OPTS="$CATALINA_OPTS -javaagent:/data/pp-agent/pinpoint-agent-1.5.2/pinpoint-bootstrap-1.5.2.jar" #添加pinpoint-bootstrap-1.5.2.jar的位置CATALINA_OPTS="$CATALINA_OPTS -Dpinpoint.agentId=pp123456"另一台用来安装pinpoint-agent ,主要用来采集数据,发送给pinpoint处理。
pinpoint-c-agent:它是由C ++,PHP,python语言编写的代理。 我们希望此代理支持其他语言。 到目前为止,它支持[PHP],[CC ++]和[PYTHON]
01-30
pinpoint-c-agent:它是由C ++,PHP,python语言编写的代理。 我们希望此代理支持其他语言。 到目前为止,它支持[PHP],[CC ++]和[PYTHON]-源码
(二)pinpoint笔记:过滤不需要的类和包(无嵌套子包过滤)
Jomly Kellenda的博客
03-20 911
一、位置:pinpoint.config # Needs to be a comma separated list of method,if web application then value need is empty #监控用户自定义的指定方法或者指定类的所有方法或者指定包下所有类的方法或者指定包下递归包及类的所有方法 #创建默认动态转换注册器,这个是装载像spring这样,在通过运行时扫...
Pinpoint 安装介绍
liaonanfeng88的优快云博客
12-30 517
安装过程 :https://www.cnblogs.com/yyhh/p/6106472.html git地址:https://github.com/naver/pinpoint 插件生成借鉴:https://github.com/bbossgroups/pinpoint-plugin-generate
APM-pinpoint实践
约会远行的专栏
07-12 8646
APM-pinpoint实践 APM-pinpoint实践 环境 部署环境 试验环境 基础系统部署 一环境说明 二准备工作 1 安装JDK 2 添加HOSTS映射关系 3 集群之间SSH无密码登陆 31 设置MASTER无密码自登陆 32 设置主机-从机的无密码登录 33 设置从机-主机的无密码登录 三HADOOP集群安装配置 1 修改HADOOP配置 11 CORE-SITEXML 12 HADO
两款静态代码检测工具的对比
SourceBrella的博客
01-16 1312
测试背景 使用工具: 源伞科技Pinpoint Sonarqube 测试项目: 开源国产CMS软件iBase4J(6000行代码) 测试结果汇总 数据统计: SonarQube结果: 代码错误 安全隐患 风格质量 总量 有效/总量 2/6 4/4 0/93 6/103 源伞科技Pinpoint结果: 代码错误 安全隐患 风格质量 总量 有效/...
一款国产静态代码分析工具与Converity的对比
SourceBrella的博客
01-17 1285
源伞科技Pinpoint,作为BAT都在使用的一款静态代码分析工具,到底有什么领先于其他厂商的能力? 1. 扩展和部署功能对比 源伞科技Pinpoint现有的检查器可以通过简单的json配置文件扩展业务逻辑。比如敏感数据泄露到日志检查器,企业或许有很多自己的日志打印函数,我们可以通过人工配置指定,即可提高检测质量。 如果不想人工配置,Pinpoint有未公开发布的库函数学习工具,可以通过线下分析...
Pinpoint C Agent 常见问题解决方案
gitblog_00813的博客
11-21 1040
Pinpoint C Agent 常见问题解决方案 项目基础介绍 Pinpoint C Agent 是一个开源项目,旨在帮助用户监控 PHP 和 Python 应用程序的性能。该项目通过 C/C++ 编写的通用 API 实现跨平台支持,包括 Windows、Linux 和 macOS。Pinpoint C Agent 的主要功能是将 PHP 和 Python 应用程序的监控数据传输到 Pinpoi...
云效安全那些事儿-Codeup代码智能安全检测服务
BYvonne的博客
01-27 564
随着计算机技术在各行各业广泛而深入的应用,软件规模和调用链路逐渐复杂,潜在的代码安全问题和风险也日益增多。近几年安全漏洞频发,诸多知名软件被发现存在远程代码执行、隐私数据泄露、SQL注入等安全漏洞问题,造成企业资产损失。面对越来越复杂的安全场景和安全漏洞可能会带来的巨大损失,如何识别和管理潜在安全风险成了企业管理者和产研同学的一个不可忽视的问题。
分布式链路追踪工具pinpoint采样率原理分析
独行侠梦的博客
03-13 4681
前言一系列的服务上云后,可能分布在几千甚至几万台服务器上,服务与服务之间存在大量复杂的调用关系,而pinpoint在采集这些服务数据时,同样会产生大量的报文。在naver公司的在线门户服...
pinpoint代码审计
最新发布
03-08
### Pinpoint 代码审计工具概述 Pinpoint 是一种专注于性能监控和诊断的开源 APM (Application Performance Management) 工具,主要用于 Java 应用程序。虽然 Pinpoint 主要功能在于实时追踪应用程序的行为并发现潜在瓶颈,但在特定场景下也可以辅助进行代码审计工作。 对于希望利用 Pinpoint 进行代码审计的情况,可以考虑以下几个方面: #### 配合其他专用的安全分析工具 由于 Pinpoint 并不是专门设计用来做安全性审查或漏洞检测的工具,在执行严格意义上的代码审计时应当与其他更专业的解决方案相结合使用。例如 Fortify SCA 可以通过其独特的 X-Tier Dataflow™ analysis 技术来识别源码中存在的安全风险[^2]。而 Pinpoint 则可以从运行时的角度补充这些静态分析的结果,提供关于实际操作行为的数据支持。 #### 使用 Pinpoint 的特性优化审计流程 尽管 Pinpoint 不是传统意义下的代码审计工具,但仍然可以通过以下方式增强整个过程的有效性和效率: - **全面的日志记录**:借助 Pinpoint 提供的强大日志收集能力,能够获取到详尽的应用调用链路信息,这对于理解复杂业务逻辑非常有帮助。 - **异常捕捉机制**:当被监测的服务抛出了未处理过的错误时,Pinpoint 能够及时捕获并将之呈现给开发者,有助于快速定位问题所在位置。 - **性能指标对比**:通过对不同版本间各项 KPI 数据变化趋势的研究,可以帮助判断新引入的功能是否带来了负面的影响,间接反映出某些可能存在的缺陷。 ```java // 示例:如何配置 Pinpoint 来跟踪某个方法的执行情况 public class ExampleService { @Trace // 添加此注解使该函数成为追踪目标 public void performCriticalOperation() { try { // 执行核心业务逻辑... } catch (Exception e) { logger.error("Error occurred during critical operation", e); throw new RuntimeException(e); // 让 Pinpoint 捕捉到这个异常事件 } } } ``` #### 实施最佳实践建议 为了最大化发挥 Pinpoint代码审计中的价值,推荐遵循如下几点原则: - 尽早集成:尽早将 Pinpoint 整合进项目生命周期当中,以便于在整个开发过程中持续积累有用的信息。 - 自动化部署:确保每次构建都能自动更新对应的 Pinpoint Agent 版本,并将其无缝嵌入 CI/CD 流水线之中[^1]。 - 定期回顾:定期审视由 Pinpoint 收集的各项数据,寻找任何不寻常模式或是表现不佳的地方加以改进。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值