近年来,我们针对软件分析和安全测试的一些关键技术问题开展了研究,并取得了一系列突破性的进展。我们的研究结合了深度软件分析方法和深度学习方法,,能够检测到大量已有软件安全测试工具无法检测的深层安全漏洞并有效消除大量误报。
指针准确识别
针对性地研究了软件安全测试中的关键难点问题——如何通过深度分析方法准确分析指针别名关系,并取得了突破性的进展。我们最新研究的深度分析方法能够大幅度提高已有安全测试产品的测试能力,从而可以准确发掘现有相关产品均无法检测到的深层次安全漏洞,大大减少漏报。相关工作先后发表于FSE'12、ISMM’13、SAS’16、FSE’16、CGO’13、PLDI’17等国际会议上
( CGO’13 最佳论文 )
高准确率分析结果
结合人工智能和机器学习的方法来进一步指导代码分析和验证分析结果,通过我们的机器学习方法能够将安全测试的准确率提高95%以上。相关工作先后发表于ACSAC’17、ICSE’18等国际会议上。
( CGO’14 最佳论文 )
高效的程序切片技术
通过先进的程序切片技术来进一步提高测试效率,能够将测试效率提高5倍,相关的研究成果获得ASE’19
( ECOOP’16 最佳论文 )
可发现大量未知错误
结合分布式系统运行时日志信息来指导安全测试,可以有效检测到云计算分布式系统中大量未知错误。相关工作发表在了SOSP’19和SANER’19等国际会议上。
( ASE’ 19 最佳论文 )
支持多种操作系统、多种检测方式
WUKONG完全支持包括Ubuntu、CentOS、Red Hat、Suse Linux等操作系统,Java检测功能支持Windows系统。支持了包括图形化界面扫描、命令行扫描与Eclipse集成扫描等功能。因此客户既可部署一台扫描服务器,也可在主机上进行安装使用。
安全漏洞覆盖面广、检测深度深
WUKONG覆盖了目前主要的代码应用安全漏洞和严重质量缺陷,包括CWE top10和OWASP TOP25等。支持漏洞库的在线、离线更新,允许用户通过更改配置文件等方式定义污染源触发点,满足客户对特定代码安全和质量的需要。同时WUKONG支持跨函数、跨文件的漏洞追溯,在指针分析技术上世界领先,因此可以找到更多更深的漏洞。
误报率低
WUKONG检测时对漏洞涉及的所有路径和变量都进行了分析,验证漏洞是否真正会导致安全问题,由此有效降低误报率。同时客户可用简单的配置方法忽略掉特殊的误报,降低客户审计代码的时间成本,不对开发过程造成更多负担。
检测性能强
WUKONG检测10万行代码的时间在3到15分钟不等,根据程序复杂程度有所不同
便于修改
WUKONG可以准确定位漏洞所在的源代码行,并对问题产生的整个过程中经过的源代码行进行溯源。开发人员即可对问题产生的原因一目了然并进行修复。
便于审计
WUKONG可对安全检测的结果进行汇总分析,并按照问题的严重性对bug的级别进行合理划分,如严重、错误、警告、信息等级别,对每个漏洞进行详细描述、解释说明和修复建议。同时支持按文件名、漏洞类型、严重等级进行分类、过滤、查询、统计,支持对漏洞信息的全文检索,可以从中快速检索到指定类别或者指定文件的漏洞
便于汇报
WUKONG可以对扫描结果进行分析并提供报告,根据客户的个性化需求,可以自定义报表模板并输出多种格式的检测报告,如PDF、Xml、RTF等,报告中提供了漏洞详细描述和修复建议,便于客户进行决策。
标准版
极速版
适用领域: 金融科技 中大型软件开发企业
便携式软件安全检测机
4U机架式服务器机组
便携式软件安全检测机
WUKONG悟空 便携式检测主机
英特尔酷睿系列处理器
2*USB 3.0,2*USB 2.0,1*USB 3.1,1USB 3.1type-C
2*DDR4-2400/2133内存插槽(支持32GB)
MINI-ITX(迷你型)
1.95V/180W电源适配器
双10/100/1000Mbps以太网卡
210*203*62.2mm(长x宽x高)
麦克风/耳机接口
2位
1*2.5〞SATA 6.0Gbps HDD/SDD接口1*M.2PCle*4/SATA SSD插槽
60000行/分钟
技术实力
符合国家标准
资质认证
公司荣誉
    CGO’13,CGO’14,ECOOP’16, ASE2019发表论文
    PLDI、ICSE、FSE、ECOOP、CGO、SAS等会议 成果发表
    获得国际、国内多项专利
    本产品选用Juliet Test Suite V1.3 版本的测试集进行测试,该测试集是由美国国家技术标准研究所(National Institute of Standards and Technology,NIST) 于 2017 年针对 CWE 中的不同分类所创建的。针对我们所支持的cwe分类测试结果漏报率为3% , 误报率为2%。