SAST 3.x系列 | 灵脉SAST 3.3版本兼备全面和速度，卷出新境界！

面向开发人员的传统SAST工具

常常会面临诸多窘境：

若以发现最大风险为目标，

则通常牺牲速度且存在大量误报；

若追求最小噪音和便捷体验，

则可能牺牲安全性。

是非此即彼，两害相权取其轻，

还是......？

灵脉SAST 3.3版本给出了新的解题思路

01

ROUND1：速度 or 全面？

灵脉SAST 3.3表示：

小孩子才做选择，成年人全都要！

  FULL  /  全面  

API分析？信创？合规？苹果生态系统？

灵脉SAST 3.3版本统统拿下！

01**.** API安全场景

灵脉SAST 3.3版本新增代码级API安全检测能力，用户在检测源代码质量缺陷和安全缺陷的同时即可获取API风险分析结果。

基于用户上传的源代码，灵脉SAST可以分析API的端点路径、方法和参数等信息，并将检测结果与API进行关联；支持对API中的参数进行分析，可醒目标注敏感参数。

02**.** 信创及高可用场景

灵脉SAST 3.3版本新增支持ARM CPU架构、国产数据库OceanBase适配，同时支持容器化及k8s部署，适配条件更丰富，满足信创需求。

03**.** 合规场景

灵脉SAST 3.3版本在覆盖检测规则共7000+的基础上，Java检测规则增加140+，C/C++检测规则增加120+，包括GJB 8114-2013、MISRA C 2012 等，整体覆盖率行业领先，深度适配军工、汽车等不同行业用户的合规场景需求。

04**.** 苹果生态操作系统场景

灵脉SAST 3.3版本进一步优化支持了Swift语言检测功能，满足iOS、macOS应用研发场景下的代码安全检测和缺陷检测需求。

   FAST / 速度   

01**.** 新增Java制品快速检测

在已有源代码快速检测的基础上，灵脉SAST 3.3版本针对Java制品检测新增“快速扫描”模式，通过轻量检测引擎，实现快捷的字节码检测流程，满足日常缺陷检测的需求。

02**.** 敏捷集成三大扩展

灵脉SAST 3.3版本扩展集成多个集成管理平台、IDE插件、CI/CD插件，无缝融入开发团队的工作流程中，开发人员无需离开原有的CI/CD体系即可在整个SDLC过程中实现自动化安全测试，从而加快发现和修复缺陷的速度。

**a.**新增通用Git配置，可基于多种 Git 托管平台，配置通用且灵活。

**b.**新增Eclipse和Visual Studio Code 插件，丰富开发环境的应用场景，减少切换工具的成本和时间。

**c.**升级Jenkins插件，支持C/C++的编译检测；

**d.**优化蓝鲸插件，更新“超危”缺陷的配置及检测统计；

**e.**新增Gitlab-CI脚本，丰富持续集成的应用场景，提升团队的开发效率和整体代码质量。

01

 ROUND2：检出率 or 误报率？

灵脉SAST 3.3表示：

我选择精准检出！

灵脉SAST 3.3全新版本引擎运用构建捕获技术、指向分析、Lambda表达式等技术，综合提升检测精度，不影响检出率的同时大大减少误报。

01**.**  构建捕获

抽象语法树（Abstract Syntax Tree，AST）是检出源代码缺陷的重要前提，但是部分代码可能存在无法生成AST的场景。基于此，灵脉SAST针对C/C++语言任务，新增基于构建捕获技术的检测流程：通过构建捕获工具，可以对源代码生成一个中间结果，并对构建捕获中间结果进行检测，以进一步提升检测的准确性。

02**.**  指向分析

指向分析能力可以在分析时推断变量真实引用的对象，这将解决大部分SAST工具在分析程序多态、对象字段跟踪不准确的问题，从而提高检测精度、优化程序和检测潜在的错误。

如代码所示，静态分析引擎基于变量定义构建函数调用图，则输出结果为English:基于类继承分析(CHA)，输出结果为English 或 French 或Chinese；基于变量分析(VTA)配合指向分析,输出结果为 French，可见指向分析能够帮助识别变量的准确类型，减少误报。

03**.** Lambda表达式支持

Lambda表达式是Java 8引入的函数式编程特性之一，结合流式编程具有很大的灵活性。灵脉SAST3.3版本可以识别和分析Lambda表达式的语法特性，并将其正确地解析为相应的抽象语法树结构，并能够追踪Lambda表达式内的值流关系，使得污点跟踪分析更为全面和准确。

如代码所示，如果没有Lambda表达式支持则只能检测出16行的缺陷。支持Lambda表达式后，可以检测出20行和24行的缺陷。

01

 ROUND3：降低风险 or 易用性？ 

除了运用构建捕获、指向分析等上述技术提升引擎检出率和精准度外，灵脉SAST 3.3版本同样优化了用户交互体验，兼顾安全性和易用性。

01**.** 新增数据备份功能

提供数据备份机制。若系统出现故障或数据丢失等意外情况，可以帮助快速恢复数据。保障检测业务的持续性和稳定运行，减少潜在损失。

02**.** 新建任务

本地上传新增.tar、.gz格式文件上传，为打包文件提供便利。

03**.** 新增JSON、XML报告格式

查看报告方式更灵活。

04**.** 详细报告中新增缺陷标识

优化缺陷跟踪路径展示，便于快速锁定并跟进缺陷。

05**.** 新增在线下载错误日志操作

针对“检测失败”任务，新增在线下载错误日志操作,提高研发人员排查问题效率。

06**.** 新增按部门****、****项目维度统计

概览新增按部门、项目维度统计，为检测数据分析和决策提供更加全面、准确的信息。

灵脉SAST作为基于AI多模智能引擎的新一代静态代码安全扫描产品，灵脉SAST深耕技术创新赋能，从源头识别安全风险，帮助企业解决软件开发过程中的安全缺陷、质量缺陷和编码规范缺陷，确保研发团队高质量交付。

• 融合SCA双倍AI驱动引擎，在检测源代码质量缺陷和安全缺陷的同时，一键完成数字供应链安全审查。

• 与源鉴SCA深度联动实现漏洞可达性分析，漏洞检测误报率低至15%，漏报率低至13%。

• 覆盖30+主流开发语言、7000+检测规则，检测速度高达百万行/小时。

申请****免费试用

灵脉SAST 3.3版本

悬镜灵脉SAST是落地实践应用安全左移的基石之一，是敏捷安全工具链中前置到安全编码阶段的重要赋能环节。悬镜敏捷安全工具链作为第三代DevSecOps数字供应链安全体系中的重要能力支撑，将不断提供更智能、更可信的创新供应链安全产品服务，持续守护中国数字供应链安全。

＋

**推荐阅读
**

关于“悬镜安全”

悬镜安全，起源于北京大学网络安全技术研究团队”XMIRROR”，创始人子芽。作为数字供应链安全开拓者和DevSecOps敏捷安全领导者，始终专注于以“代码疫苗”技术为内核，凭借原创专利级”全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系，创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户，构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系，持续守护中国数字供应链安全。