海云安源代码审计服务有啥优势吗

Posted 2023-04-16

现在大部分客户对于软件开发的安全考量基本集中在软件开发的后期，在测试阶段引入。常用的软件风险评估、漏洞扫描、渗透测试等都是在软件开发完成后进行。通常这个阶段预留的时间非常少，不仅修复的难度高，修复、测试的成本极高，而且存在大量的漏洞错报和误报的情况。后期的测试手段也无法精准地测试出代码漏洞的具体位置。当通过后期测试发现问题后，人工进行代码审查去查找漏洞所在代码位置时，我们经常会发现过程中存在效率低、准确率低、无法定位具体问题代码行等问题。而这些问题导致了客户后期发现系统漏洞时，无法进行快速、准确地修复，客户只能让系统携带漏洞上线。SCAP产品将从开发早期进行安全介入，能够快速精准地定位问题代码行，对漏洞进行实时管理，完美地解决上述问题，从源代码级别保护系统的代码安全。

Why SCAP？

海云安源代码分析管理平台（以下简称“SCAP”）是由深圳海云安网络安全技术有限公司多年源代码安全实践经验自主研发的源代码安全漏洞检查及分析管理平台。SCAP拥有领先行业的源代码检测引擎，强大的用户环境集成能力和完善的管理流程使得产品拥有强大的实用性。SCAP为开发人员提供简单、方便、精准、快速的源代码漏洞检查，极大地减少开发人员在查找、修复漏洞上花费的时间，提高安全效率。强大精准的代码检测引擎使得SCAP成为市场上现有源代码安全最强有力的工具。

产品功能

海云安SCAP产品能够从源头和开发的初期就及时发现漏洞，让开发人员在使用意识和编码习惯方面做到杜绝安全隐患，极大地提高用户软件的安全性，帮助用户降低潜在经济损失，实现海云安“安全每一行代码”的愿景。

强大的引擎能力

SCAP拥有领先行业的源代码安全分析引擎，引擎100%自主研发，安全可控。该引擎支持C\\C++、Java、JS、php、SQL等多种语言，覆盖代码缺陷检测、代码质量检测、开源组件检测、木马后门检测、性能缺陷、编码规范等 2000+种缺陷。引擎积累了庞大的安全漏洞检测规则库，以及源代码误报漏报过滤引擎。同时引擎结合了AI人工智能学习算法，快速积累自己的规则库和漏洞库。

强大的引擎能力

支持Java、C、C++、.NET、Andriod-JAVA、Objective-C、Swift、JSP、PHP、ASP、Python、XML、html、javascript、VBScript、SQL等20+种语言的检测

▲ 产品页面

支持对代码缺陷检测、代码质量检测、开源组件检测、木马后门检测，涵盖2000+种缺陷类型

符合CWE、OWASP Top 10、SANS、PCI DSS、STIG、NIST等等国际安全组织或行业安全标准的安全漏洞分类、分级，其中OWASP TOP10召回率高，漏报率低

支持用户自定义检测规则，来满足客户化的特定的检测需求；同时支持用户对产品的安全漏洞检测规则库进行自定义勾选，满足用户根据自身特点、或者检测目标的安全要求，定义出不同的检测标准

▲ 产品页面

高效的管理能力

为了让产品更好地服务于用户，在产品设计的过程中，我们对用户的软件开发流程、开发习惯、痛点难点等方面进行了深入的调研。海云安SCAP产品支持项目全生命周期综合管理，能够提供对多个项目源代码的不同开发阶段、不同版本的测试结果报表。针对多用户、多职责、多部门的权限管理不同的情况，用户可根据自己的需求进行权限控制，便于对不同部门和不同角色的用户进行统一分配、集中管理。平台的易用性和高效全面的管理能力使得海云安SCAP成为用户的不二之选。

高效的管理能力

支持项目全生命周期综合管理，提供对多个项目源代码的不同开发阶段、不同版本的测试结果报表功能

多用户，多职责，多部门的权限管理。可根据用户需求进行权限控制，方便不同部门和不同角色的用户进行统一分配、集中管理

管理平台支持从本地上传代码包进行扫描检测，一键上传，自动分析

管理平台有详细的报表统计分析功能，能够展示各研发部门源代码安全审计情况、整改前后的对比、全局源代码审计情况等，方便整体把握源代码安全情况

▲ 产品页面

集成扩展能力

能够对接Git，SVN等主流代码仓库。支持 Eclipse插件集成， IntelliJ插件集成， android Studio插件集成能够实现一键提交代码扫描

能够无缝对接第三方扫描引擎，并对测试结果以及规则等进行统一管理

支持用户工单对接，能够对接JIRA等工单系统，一遍一键提交扫描报告，高效跟进和落实代码漏洞整改。同时能够根据客户的工单系统需求，对接其他工单系统

▲ 产品界面

SCAP产品框架

SCAP以B/S架构的方式提供用户进行交互与管理，支持私有云和公有云部署，能够与Git、SVN等代码仓库集成获取代码，与Jenkins构建集成系统进行集成，系统构建时会自动化触发进行代码扫描。用户可通过检测代码版本对比进行误报自动加白名单，在审计结果输出后，可对审计结果进行导出报告，使用邮件进行报告推送，还与企业的漏洞工单进行对接，实现平台一站式审计服务。

▲ 产品架构

SCAP产品优势

业内顶尖的检测能力：涵盖代码缺陷，质量，木马后门等检测，涵盖2000+种缺陷类型

自主研发，安全可控：SCAP产品是海云安 100% 自主研发，具有自主知识产权，符合国家信息安全产品“自主、可控”的要求

强大的规则库：结合多年的服务经验以及AI人工智能算法，形成了领先业内的规则库和漏洞库

功能强大，灵活部署：SCAP产品拥有强大全面的检测能力，同时在易用、实用方面也广泛受用户好评。产品还可实现对软件安全开发生命周期的全面支持，方便用户使用

参考技术A 有优势，是通过工具+人工审查等方式相结合进行的，通过白盒测试的手段，全面合规，能帮助公司提高其信息系统的质量和安全性，提高源代码安全开发、测试及安全管理水平。本回答被提问者采纳

这种在连续子数组中找到最大和的递归算法有啥优势吗？

【中文标题】这种在连续子数组中找到最大和的递归算法有啥优势吗？

【英文标题】：Does this recursive algorithm for finding the largest sum in a continuous sub array have any advantages?这种在连续子数组中找到最大和的递归算法有什么优势吗？

【发布时间】：2020-02-01 07:06:27

【问题描述】：

目标：评估在下面的连续子数组中找到最大和的算法。

注意：用 C++ 编写

当我研究 Kadane 使用动态编程成功解决的问题时，我想我会找到自己的解决方法。我通过使用一系列递归调用来做到这一点，具体取决于通过缩短数组的末端是否可以使总和更大。见下文。

int corbins_largest_sum_continuous_subarray(int n, int* array)
   int sum = 0; // calculate the sum of the current array given
   for(int i=0; i<n; i++)sum += array[i];

   if(sum-array[0]>sum && sum-array[n-1]>sum)
      return corbins_largest_sum_continuous_subarray(n-2, array+1);
   else if(sum-array[0]<sum && sum-array[n-1]>sum)
      return corbins_largest_sum_continuous_subarray(n-1, array);
   else if(sum-array[0]>sum && sum-array[n-1]<sum)
      return corbins_largest_sum_continuous_subarray(n-1, array+1);
   else 
      return sum; // this is the largest subarray sum, can not increase any further
   

我知道 Kadane 的算法需要 O(n) 时间。我在计算算法的大 O 时遇到问题。它也会是O（n）吗？因为它使用 O(n) 计算总和，之后的所有调用都使用相同的时间。我的算法比 Kadane 的算法有什么优势吗？ Kadane 的算法在哪些方面更好？

【问题讨论】：

Kadane 算法的链接会有所帮助。

您总是在重新计算总和。最坏情况下的 O(N^2) 复杂度

此外，我不相信你的算法能提供好的结果。用 (1, -2, 5, -2, 1) 测试它

【参考方案1】：

首先，表达式sum-array[0]>sum 等价于array[0]<0。类似的观察结果适用于代码中的其他条件。

您的算法不正确。您在这里的评论不正确：

else
    return sum // this is the largest subarray sum, can not increase any further

当你到达那个点时，你知道外部的两个值都是正数，但在数组的其他地方可能有一个负和子数组，当被删除时，它会给出两个剩余的子数组，其中一个（或两者）的总和可能大于总和。

例如，以下输入就是这种情况：

[1, -4, 1]

您的算法将得出结论，通过取整个数组（总和为 -2）来实现最大总和，但子数组 [1] 表示更大的总和。

其他反例：

[1, 2, -2, 1]
[1, -3, -3, 1, 1]