静态源代码安全扫描工具测评结果汇总

参与厂商

测评详情

测评结果

从七个维度进行测评，结论为：

部署环境：共2个分项，全部满足

安全扫描：共14个分项，其中9个满足，5个不满足

漏洞检测：共3个分项，全部满足

源码支持：共2个分项，其中1个满足，1个部分满足

扩展集成：共3个分项，全部满足

产品交互：共3个分项，全部满足

报告输出：共1个分项，全部满足

总计：满足22个，部分满足1个；不满足5个

从七个维度进行测评，结论为：

部署环境：共2个分项，全部满足

安全扫描：共14个分项，其中8个满足，6个不满足

漏洞检测：共3个分项，全部满足

源码支持：共2个分项，其中1个满足，1个部分满足

扩展集成：共3个分项，全部满足

产品交互：共3个分项，全部满足

报告输出：共1个分项，全部满足

总计：满足21个，部分满足1个；不满足6个

从七个维度进行测评，结论为：

部署环境：共2个分项，全部满足

安全扫描：共14个分项，其中7个满足，1个部分满足，6个不满足

漏洞检测：共3个分项，其中2个满足，1个不满足

源码支持：共2个分项，其中1个满足，1个部分满足

扩展集成：共3个分项，其中2个满足，1个不满足

产品交互：共3个分项，全部满足

报告输出：共1个分项，1个不满足

总计：满足17个，部分满足2个；不满足9个

从七个维度进行测评，结论为：

部署环境：共2个分项，全部满足

安全扫描：共14个分项，其中9个满足，5个不满足

漏洞检测：共3个分项，全部满足

源码支持：共2个分项，全部满足

扩展集成：共3个分项，全部满足

产品交互：共3个分项，全部满足

报告输出：共1个分项，全部满足

总计：满足23个，部分满足0个；不满足5个

从七个维度进行测评，结论为：

部署环境：共2个分项，全部满足

安全扫描：共14个分项，其中9个满足，5个不满足

漏洞检测：共3个分项，全部满足

源码支持：共2个分项，其中1个满足，1个部分满足

扩展集成：共3个分项，全部满足

产品交互：共3个分项，全部满足

报告输出：共1个分项，其中1个部分满足

总计：满足21个，部分满足2个；不满足5个

- 总结 -

• 在部署环境方面，所有5个产品均满足了全部要求。

• 在安全扫描方面，CheckMarx、CodeSec和Xcheck表现最佳，满足了14个分项中的9个；Fortify满足了8个；SonarQube满足了7个，部分满足1个。

• 在漏洞检测方面，CheckMarx、Fortify、CodeSec和Xcheck均满足了全部3个分项的要求，而SonarQube只满足了2个。

• 在源码支持方面，CheckMarx部分满足，Fortify和SonarQube各满足1个和部分满足1个，而CodeSec完全满足，Xcheck满足1个，部分满足1个。

• 在扩展集成方面，CheckMarx、Fortify、CodeSec和Xcheck均完全满足了全部3个分项的要求，但SonarQube只满足了2个。

• 在产品交互方面，所有5个产品均满足了全部3个分项的要求。

• 在报告输出方面，CheckMarx、Fortify和CodeSec均满足了唯一的1个分项，SonarQube没有满足，而Xcheck部分满足。

综上可见，国内外产品在部署环境和产品交互等基础方面无明显差距，但在关键的安全扫描、漏洞检测、源码支持、扩展集成和报告输出等核心功能上，国内产品CodeSec和Xcheck有领先优势。其中，CodeSec产品在源码支持和报告输出两个维度上表现最为突出，Xcheck产品的整体功能和表现也较为均衡。相比之下，国外产品SonarQube在多个维度上有所欠缺，与其他产品存在一定差距。