WuKong软件代码安全检测修复系统
悟空是一款静态代码分析工具,为客户在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻 辑漏洞,帮助用户提升抵御网络攻击、防止数据泄露等安全问题的能力。
支持语言:C/C++、Java、Python、JS、HTML、PHP等
√ 支持混合语言检测,支持中间码/字节码检测,也支持针对源代码本身检测

√ 支持zip压缩包形式上传被测工程,或SVN/GIT形式上传被检测工程,支持CI(持续集成)的检测
开始免费试用 线下预约试用请拨打免费电话:400-636-0101
从源代码入手,从根源处解决软件安全问题
Wukong专注于扫描
和检测应用软件源代码
中的潜在问题和缺陷
至今已检测上亿行
代码
发现数十万安全
“缺陷”
发现数万“严重”安
全问题
为企业避免了上亿
经济损失
源代码安全漏洞检测修复
Exchange Server内存损坏漏洞(CVE-2018-8302)
Stagefright漏洞
Linux系统double-free漏洞
Samba远程代码 执行漏洞
Linux内核漏洞Phoenix Talon
Linux内核提权漏洞(DVE-2017-6074)
永恒之蓝漏洞,Kerberos协议漏洞,SheLLShock漏洞
心血漏洞
Adobe Flash漏洞(CVE-2018-4878)
IE双杀漏洞(CVE-2018-8174),Win-dows & Adobe PDF漏洞
(CVE-2018-4990)C
Exchange Server内存损坏漏洞(CVE-2018-8302)
CPU熔断漏洞
indows DNS Server 堆溢出漏洞(CVE-2018-8626)
CPU幽灵漏洞
Windows Win32k漏洞(CVE-2018-8453)
微软Jet Database Engine远程 代码执行漏洞(CVE-2018-8423)
Windows ALPC漏洞(CVE-2018-8440)
脏牛漏洞(CVE-2016-5195)
微软Edge远程代码执行漏洞(CVE-2018-8495)
源代码级
运行级
系统级
网路级
源代码级
源代码安全漏洞检测修复
运行级
漏洞扫描器 安全沙箱 FUZZ测试
系统级
恶意软件检测 主机防护 安全OS
网络级
IDS 防火墙 隔离机

为什么选择悟空

中科院计算所科研团队自主研发

WuKong是中科院计算所计算机体系结构国家重点实验室团队多年科研攻关的成果。核心技术取得多项荣誉成就,包括:

  • 四十余篇国际顶级会议/期刊论文发表
  • 四次国际最佳论文奖
  • 三十余项核心自主知识产权

支持多项国际/国内/行业检测标准

WuKong支持安全编码标准、运行时缺陷、安全漏洞等多种类型检测:

  • 支持OWASP TOP10、CWE TOP25、ISO17961等国际标准
  • 支持GB/T34943、GB/T34944等国家标准
  • 支持MISRA、SJ/T 11683等多项其他标准

兼容多种国产化环境

WuKong通过多项国产环境兼容适配测试,可支持多种国产环境,包括:

  • 中标麒麟
  • 银河麒麟
  • 鲲鹏
  • 龙芯
  • 飞腾
  • 等国产软硬件

提供定制化服务

WuKong响应客户的个性化需求,提供本地定制化服务,可对以下等多个模块及其他个性需求进行定制开发,如:

  • 缺陷漏洞
  • 编码标准
  • 图表报表
  • 管理功能

完备的技术支持体系

  • 全天候7天*12小时咨询服务
  • 超长5年免费质量保证
  • 专业技术专家“一对一”服务
  • 及时高效的产品升级服务
国际顶尖的核心技术支持
指针准确识别
针对性地研究了软件安全测试中的关键难点问题——如何通过深度分析方法准确分析指针别名关系,并取得了突破性的进展。我们最新研究的深度分析方法能够大幅度提高已有安全测试产品的测试能力,从而可以准确发掘现有相关产品均无法检测到的深层次安全漏洞,大大减少漏报。相关工作先后发表于FSE'12、ISMM’13、SAS’16、FSE’16、CGO’13、PLDI’17等国际顶级会议上
( CGO’13 最佳论文 )
高准确率分析结果
结合人工智能和机器学习的方法来进一步指导代码分析和验证分析结果,通过我们的机器学习方法能够将安全测试的准确率提高95%以上。相关工作先后发表于ACSAC’17、ICSE’18等国际顶级会议上。
( CGO’14 最佳论文 )
高效的程序切片技术
通过先进的程序切片技术来进一步提高测试效率,能够将测试效率提高5倍,相关的研究成果获得ASE’19最佳论文
( ECOOP’16 最佳论文 )
可发现大量未知错误
结合分布式系统运行时日志信息来指导安全测试,可以有效检测到云计算分布式系统中大量未知错误。相关工作发表在了SOSP’19和SANER’19等国际顶级会议上。
( ASE’ 19 最佳论文 )
可适用编程语言类别
Wukong目前支持对C、C++、C#.NET、Java(包括Android)、JSP、JavaScript、HTML、PHP、Python、Object-C、Ruby、Swift、GO等开发语言所编写的软件产品进行安全漏洞和缺陷的检测
Wukong支持Ubuntu、CentOS主流Linux环境部署;支持中标麒麟、银河麒麟等国产操作系统部署;支持高并发用户的分布式部署
悟空产品功能列表
基本功能
支持Word、PDF格式检测报告
支持命令行
支持增量检测
支持ZIP包、SVN/Git检测
支持第三库/开源组件检测
项目、任务、团队管理, 领导驾驶舱,量化分析
知识库和定制
支持标准
OWASP top 10
CWE/SANS top 25
GB 34944(Java)
GB 34943(C/C++)
SJT 11683-2017(Java)
SJT 11682-2017(C/C++)
Cert Java 安全编程规则
MISRA 2012
GJB 8114
支持框架
Spring
Mybatis
Hibernate
等14种内置框架
检测引擎
快速检测引擎
(能够快速检测,生成检测报告)
深度智能检测引擎
(可调节检测深度的智能检测引擎)
运行时缺陷检测
内存泄漏
变量未初始化使用
使用已释放的内存
数组越界
空指针解引用
资源泄漏
释放未分配的内存
无限循环
不可达路径
等100多种运行时缺陷检测
安全漏洞检测
SQL注入
跨站脚本攻击
密码权限
非法计算
代码安全
线程死锁
0Day漏洞
Cookie安全
远程拒绝服务
等上千类安全漏洞检测
定制化服务
检测器定制
Devops/DevSecOps定制
报告定制
图表中心定制
领导驾驶舱定制
产品界面展示
产品首页
高频BUG分析
快速检测
软件代码安全驾驶舱
基于WuKong的专业代码检测服务
出具满足多项国家及国际相关标准的测试报告,强大的源代码审计团队,满足实验室、线上、现场等多种场合的检测需求
软件源代码检测
软件源代码检测 国际领先的高精度代码缺陷检测技术,更全面的检测代码缺陷情况。
出具权威检测报告
出具权威检测报告 支持多项国际/国内/行业安全编码规范、运行时缺陷、安全漏洞类型检测。
缺陷漏洞定位分析
缺陷漏洞定位分析 精准到行的代码缺陷检测,方便开发者更快发现并解决问题。
提出修复策略
提出修复策略 针对每个发现的缺陷,提供缺陷修复建议,帮助开发者快速修复代码缺陷。
2次免费回归测试
2次免费回归测试 免费进行2次回归测试,验证缺陷修复情况,保障系统安全运行。
一分钟了解中科天齐
技术实力
符合国家标准
资质认证
公司荣誉
    CGO’13,CGO’14,ECOOP’16, ASE2019最佳论文
    PLDI、ICSE、FSE、ECOOP、CGO、SAS等会议 成果发表
    获得国际、国内多项专利
    本产品选用Juliet Test Suite V1.3 版本的测试集进行测试,该测试集是由美国国家技术标准研究所(National Institute of Standards and Technology,NIST) 于 2017 年针对 CWE 中的不同分类所创建的。针对我们所支持的cwe分类测试结果漏报率为3% , 误报率为2%。
安全资讯
2021
11-30
你的开源代码安全吗?中科天齐百万代码缺陷免费预约检测活动震撼来袭!
你的开源代码安全吗?中科天齐百万代码缺陷免费预约检测活动震撼来袭!
2021
09-30
面对安全漏洞,保持被动的团队将始终处于落后状态
在过去的几个月里,网络安全领域已成为人们关注的焦点。从Colonial Pipeline攻击到肉类加工公司 JBS遭受的破坏,2021 年似乎是网络犯罪分子嚣张的一年,而且他们并没有放慢脚步。这种上升趋势的一个特别令人担忧的部分是“0 day攻击”的明显增加,这是一种恶意型的网络安全攻击,它利用供应商或开发人员不知道或尚未解决的安全弱点。几个月前,谷歌威胁分析小组发表了一篇博客文章,强调了0 day攻击的增加。研究发现,到2021 年中期,“公开披露的攻击中使用了33个0day 漏洞利用”,比 2020年的总数增加了11个。Verizon的“2021年数据泄露调查报告”强调了企业目前面临的网络安全挑战数量。该报告发现,网络钓鱼和勒索软件攻击“分别增加了11%和6%”。从数据来看,安全形势肯定比以往更加严峻。尽管这些数据看上去让人担忧,但需要注意的前提是,数据泄露事件的披露比以往更加透明,并且媒体也比以往更关注严重泄露的规律性和新闻价值。网络攻击的增加将是网络安全专业人士特别关注的问题。在过去的一年中,我们目睹了犯罪分子越来越积极主动的努力,他们不仅利用漏洞、向企业索要赎金,而且传播他们的勒索软件服务并且利用他们的专业知识。网络犯罪已经“平民化”,恶意软件可以轻易被大众使用。因此,恶意行为者越来越能够针对开发人员尚未解决的安全漏洞。那么,有什么解决办法呢?首先,企业最好采用主动方法来识别和解决漏洞,预防是比治疗更实用的解决方案,保持被动的团队将始终处于后发制人的状态,这就是网络犯罪分子所依赖的实时问题与“太少、太晚”修复之间的脱节。每个大型企业都应该有一个专门的网络安全专业人员团队,他们的重点是识别、修复和修补安全漏洞或缺陷。这些安全工作应该尽可能在开发前期准备。其次,具有安全意识的开发人员团队对于任何组织来说都是隐藏的宝藏。赢得开发人员关注安全性并将安全编码视为代码质量的基础,需要在整个组织范围内承诺将安全放在首位。当整个团队在编写代码时在消除常见漏洞方面发挥积极影响时,还有什么工具能与之竞争?问题在于,多数开发人员认为可以查找代码安全的静态代码检测工具过于麻烦,增加过多的工作量。但随着技术的发展与进步,存在一些安全可信的静态代码检测工具可以在帮助开发人员查找问题的同时保证开发效率,降低修复安全漏洞的成本。根据IBM的一项研究,在发布后的代码中修复漏洞的成本是在开始时发现和修复漏洞的30倍。最后,企业应该强化网络安全意识,做好网络安全诊断,在发生网络安全风险时及时做出响应,减少网络系统受到的损害,同时有利于降低未来的安全风险。中科天齐Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!软件安全 网络安全的最后一道防线中科天齐公司是在中科院计算技术研究所的大力推动下以中科院计算所国际领先的自主研究成果“软件代码漏洞检测修复平台Wukong(悟空)”为基础组建的高新技术企业 关键词标签:网络安全 静态代码检测 代码安全 安全漏洞
2021
09-30
RCE漏洞被黑客利用以感染系统 代码检测提高软件安全性
已经发现机会主义威胁行为者积极利用最近披露的跨Windows和Linux的Atlassian Confluence 部署中的一个关键安全漏洞来部署web shell,从而导致在受感染系统上执行加密矿工。在跨Windows和Linux的Atlassian Confluence部署中,机会主义威胁行为者被发现积极利用最近披露的一个关键安全漏洞来部署web shell,从而导致在受感染的系统上执行加密矿工。该漏洞被跟踪为CVE-2021-26084(CVSS 评分:9.8),涉及 OGNL(对象图导航语言)注入漏洞,可利用该漏洞在Confluence服务器或数据中心实例上实现任意代码执行。趋势科技的研究人员在一份详细介绍该漏洞的技术报告中指出:“远程攻击者可以通过向易受攻击的服务器发送包含恶意参数的精心制作的HTTP请求来利用该漏洞。”“成功的利用可能导致在受影响服务器的安全上下文中任意执行代码。”该漏洞存在于Atlassian Confluence服务器和数据中心的Webwork模块中,其原因是对用户提供的输入验证不足,导致解析器对注入到OGNL表达式中的恶意命令进行评估。在今年8月下旬公开披露该漏洞后,美国网络司令部警告称,在该漏洞公开后,可能会出现大规模的攻击。在趋势科技观察到的一次此类攻击中,发现 z0Miner(一种木马和密码劫持程序)被更新以利用远程代码执行 (RCE) 缺陷来分发下一阶段的有效负载,这些负载作为一个通道,以保持持久性并在机器上部署加密货币挖掘软件。Imperva在一项独立分析中证实了这一发现,发现了旨在运行XMRig加密货币矿工和其他后开发脚本的类似入侵尝试。Imperva、Juniper和Lacework还检测到Muhstik的利用活动。此外,Palo Alto Networks 的 Unit 42 威胁情报团队表示,它识别并阻止了精心策划的攻击,这些攻击旨在上传客户的密码文件以及下载带有恶意软件的脚本来下载矿工,甚至在机器上打开交互式反向shell。Imperva的研究人员表示:就像RCE漏洞经常发生的情况一样,攻击者会迅速利用受影响的系统来获取自己的利益。”“RCE漏洞很容易让威胁行动者利用受影响的系统,通过安装加密货币矿工和掩盖他们的活动,从而滥用目标的处理资源,轻松获取金钱。Atlassian是一个澳大利亚的企业软件公司,设计发布针对软件开发工程师和项目经理的企业软件。Atlassian公司以其产品项目跟踪软件JIRA和团队协同软件Confluence而闻名。由于软件被企业使用,因此软件中的安全漏洞很容易引起供应链攻击,从而给客户造成严重安全影响。随着现在软件供应链模式已成为主流,任何一个软件安全漏洞都可能导致不可计数的企业遭到攻击。数据显示,90%的网络攻击事件都与漏洞利用相关,由此可见安全漏洞在网络攻击中起到至关重要的作用。而企业在软件开发过程中使用静态代码检测工具可以减少30%到70%的安全漏洞,因此随着网络安全形式愈发严峻,为了确保网络安全应从源头代码做好安全检测,以减少软件安全漏洞筑牢网络安全根基。中科天齐Wukong(悟空)静态代码检测工具,从源码开始,为您的软件安全保驾护航!软件安全 网络安全的最后一道防线中科天齐公司是在中科院计算技术研究所的大力推动下以中科院计算所国际领先的自主研究成果“软件代码漏洞检测修复平台Wukong(悟空)”为基础组建的高新技术企业 关键词标签:漏洞利用 网络攻击 软件安全 静态代码检测