更安全、更快速

Scantist提供了最全面的应用程序安全工具--以无与伦比的准确性扫描源代码和二进制文件的漏洞,以便您能确定重要内容。

开源挑战

被引用第三方代码安全质量

产品推出市场后安全质量的把持

不同应用场景,不同安全工具

漏洞修复过程过于繁冗

简化应用程序安全

在单一平台上保护应用程序的所有组件,更高漏洞修复效率

  • 已公开,已认证的漏洞。
  • 认证机构:NVD, Bugzilla等
  • 已公开,未认证的漏洞。
  • 通过scantist大数据算法等技术获得。
  • 追踪知名开源组件状态(Commit)获得。
  • 已公开,已认证的漏洞。
  • 组件特征达到阈值,则判定为安全警告。

为什么选择Scantist

应用程序安全是一项挑战。
我们知道这一点,因为我们自己就是软件开发人员!
这就是为什么我们构建了无缝且专注于帮助您发现和修复漏洞的解决方案。

软件成分分析

通过用户所上传的二进制文件或源代码连接,分析代码中的开源文件。

代码缺陷检测

能够搜索出2000万个版本的组件,为用户提供安全漏洞,许可证隐忧等信息。

代码漏洞修复

得力于Scantist独有的技术,Scantist能够为用户提供代码补丁,针对性修复漏洞。

应用场景

更短的软件开发周期 | 第三方代码的使用 | 更高的效率 | 更低的成本

代码溯源

第三方代码在传送中的过程中可能经过多次的修改/添加,而变得难以追溯。

许可证隐忧

许多第三方代码带有隐藏条例,如:要求用户也开源自身代码、在商用情况下需对代码提供者付费、用户不能修改源代码等。

第三方代码安全

被认证为无漏洞的第三方代码,可能因为引用了其他存有漏洞的第三方代码,而为自身代码带来了潜在的漏洞问题。

自定义管理许可、专有知识图谱、
支持多种代码、依赖图谱信息可视化

Scantist自定义许可证策略

Scantist能够从用户代码中找出所有的开源许可证条款,协助企业更妥善的管理和处理许可证问题。

Scantist 知识图谱--更宏观的项目安全检视

Scantist提供专有的知识图谱,为用户展示一个所有被扫描过的项目之间的相互关系试图,协助用户以更快,更低的成本来对问题进行修复。

Scantist 支持代码列表

Scantist 依赖图谱信息可视化

开源组件中,可能引用了其他第三方组件,对其产生依赖。通过持续集成工具(CI),Scantist可以搜索到这些依赖,更准确的涵盖所有漏洞可能。
依赖图谱能够让用户更好的可视化这些组件之间的依赖关系。

Scantist独有漏洞数据、广泛数据来源、数据库更新频繁

Scantist 数据库--公有数据 + 独家数据

Scantist能搜索出约2000万个版本的组件,而在这2000万个版本的组件中,大约有500万个版本的组件是受漏洞问题所影响的。综合公有和Scantist独有的漏洞数据,Scantist 能够为用户带来最全面,最安全的代码分析。

Scantist 数据来源--16TB的数据

通过多年的机器学习与大数据爬虫,Scanner积累了庞大的漏洞信息,而这些信息来源主要来自于:
1. NVD和CNNVD
-权威安全漏洞认证机构
2. 源代码管理工具 Commits / Library Logs / 发布文档
3. 源代码管理工具 Issue Tracker(漏洞追踪器)
-通过代码更新文档,捕抓漏洞在哪个版本中已被修复
4. OSS Bug Tracker (Open Source Security 捕虫工具)
5. 安全权威建议
-追踪软件安全权威的Blog,推特等等。

Scantist 数据更新--数据库更新频率

Scantist提供三种部署模式,而各别的更新频率为:
1. Scantist (SaaS 版)
– 每6小时,Scantist将更新一次云数据库。
2. Scantist (本地联网版)
– 本地版用户需确保在安装部署,打补丁或数据更新的时侯为机器提供网络。 - Scantist每日发布数据包供更新。
3. Scantist (本地断网版)
– 断网版用户可通过其他机器下载数据包/补丁,再将文件移至部署机器进行安装。
– Scantist每日发布数据包供下载。

更高的准确率、更全面的修复方案、
更高的语言覆盖率、针对C语言的独特特性

Scantist 准确率

Scantist 修复方案

Scantist 语言覆盖率

Scantist C语言实例

*正阳率:该有的CVE,都被找出的准确率。
*误判:不该有的CVE,但被错误找出。

  1. 大部分软件成分分析工具由于C语言独有的特性(没有Package Manager,不易处理),而不对C语言项目进行支持。
  2. 在实测中,被选中为测试项目的是在C语言开发中相当出名的开源项目,Libxml2。
  3. 为了检测所有工具是否能辨认出“只被部分引用的组件”,我们对原文件进行了简单的修改。
  4. 友商B找到了更多的组件数和CVE数是因为友商B把所有关于该项目的漏洞都显示出来,并不考虑组件只是被部分引用,导致结果缺乏针对性。
  5. 友商W能够准确针对被引用的部分提供漏洞信息,但是其结果误判率较高。

受到世界各地公司的信赖