White Source是一家AST（应用程序安全测试）领域的专业供应商，专注于信息安全咨询与缺陷研究。White Source提供的SAST产品旨在使用静态应用程序安全测试(SAST、白盒测试)技术，分析和测试应用程序的安全漏洞。White Source SAST 产品检测自定义代码缺陷的速度比传统 SAST 产品快 10 倍。它与软件开发人员现有的工作流程和开发环境无缝集成，因此他们可以在编写代码时轻松触发安全测试。

      软件漏洞是公司或组织所面临的严峻的安全挑战。黑客会利用软件漏洞危害公司安全，造成信息、金钱上的损失，扰乱业务运作。这样的事故会造成各种直接或间接的损害，包括负面公关以及客户丧失信心等。根据《福布斯》杂志2018年的数据，数据安全漏洞造成的平均损失为791万美元。

      为此，White Source的SAST产品提供了软件漏洞检测的解决方案：专注于创建自定义代码漏洞检测、优先级和自动修复，使开发人员能够快速轻松地识别和修复重要的软件风险。

White Source SAST——针对信息安全的代码静态分析工具

-产品介绍

       White Source SAST是一个SAST(静态应用程序安全测试、白盒测试)解决方案，用于对应用程序源代码执行广泛的安全分析。White Source SAST易于使用，几乎不需要用户输入，可以在开发期间或开发之后部署。它可以通过自动化代码分析的方式，有效替代高要求并且耗时的人工代码审查过程。White Source SAST可以快速并准确地分析大型和复杂项目的源代码，提供准确的结果和低误报率。

-广泛的适用性

      White Source SAST支持C/C++、C#、Java、PHP、ASP、VB.Net、Visual Basic、VB Script、Python、Ruby、Java Script、Type Script、Node.js、Android Java、IOS Objective C、PL/SQL、Cold Fusion、Groovy、COBOL等多种开发语言/框架，覆盖当前多数开发平台。

      White Source SAST可以在服务器上部署为Web应用，并通过网页方便地访问，并提供强大的RESTAPI以供通过Windows、Linux或Mac平台进行调用。也可以直接部署为Windows桌面版。White Source SAST支持与Git、TFS、SVN等版本控制系统进行集成，便于代码管理。

-漏洞覆盖

      White Source SAST能够为使用不同开发环境和框架，在不同平台上开发的应用程序扫描多达30多种漏洞类型（其中包括OWASP Top10），其中一些如下：

• SQL注入

• XPATH注入

• 文件泄漏

• 邮件转发

• 跨站脚本攻击

• 弱加密

• 危险配置项

• 代码注入

• 危险的文件扩展名

• Shell命令执行

• HTTP响应分拆攻击

• 信息泄漏

• LDAP注入

应用&案例

      White Source SAST在汽车、金融、互联网等领域均有应用：