琥珀眼代码扫描

我们正在研发的代码安全扫描解决方案 "琥珀眼", 基于自主知识产权、处于业界领先地位的新型代码虚拟执行技术，实现更高精度、更低误报的安全漏洞挖掘，覆盖所有常见的代码安全威胁类型，提高软件漏洞挖掘及修复效率，提升软件系统整体安全性

试用请联系：may.wei@ambersec.com / 13721072377

业界领先的代码安全扫描技术

开源扫描器

第一代
模式匹配

基于关键词和模式匹配，只适用于检测较简单、较明显的安全漏洞，实用价值有限

商业扫描器

第二代
静态分析

静态分析代码逻辑，精确度较低，误报率高，需要具备安全知识的专业人员花费大量时间进行复查和纠错，工作效率低

琥珀眼代码扫描

第三代
虚拟执行

在真实环境中虚拟执行目标程序，精确掌握代码数据流和执行流，低误报低漏报，针对性的漏洞成因及修复建议信息，便于普通开发人员理解和修复漏洞

高度集成、便捷的使用流程

用户准备好待分析的程序代码，上传到琥珀眼管理界面

琥珀眼根据安全规则进行针对性的虚拟执行，得到漏洞相关的程序逻辑信息

汇总漏洞详细信息，创建安全报告

专业全面的漏洞报告

技术细节准确清晰

漏洞列表

安全漏洞可以按照模块、类型、严重级别、当前处理状态等不同方式组织展示

漏洞相关代码

漏洞流程中某一步操作在程序源代码中的具体位置

漏洞流程

漏洞相关的详细数据流、调用堆栈信息

漏洞流程图

图形化展示形成漏洞的数据流程

灵活的部署模式，适应不同客户需求

云端部署

通过互联网访问琥珀眼云端扫描服务，便捷易用，适合中小型客户

本地部署

将琥珀眼设备部署到企业内部，在内网访问扫描服务，将代码和漏洞数据控制在内部，适合大型企业和机构

专注代码安全，覆盖所有常见安全威胁类型

安全业界现状：

超过80%的安全漏洞发生在应用层，52%的网站应用程序都存在SQL注入、XSS跨站脚本和输入验证问题。琥珀眼专注于代码安全漏洞扫描，产品的正式版支持以下安全漏洞类型：

漏洞类型

输入验证/注入	密码学、技术、协议相关漏洞	不安全的编程习惯
SQL注入	不安全的哈希算法	不安全终止JVM
跨站脚本注入	不安全的加密算法	不安全的方法调用
命令行注入	不安全的随机数种子	空指针引用
XPath/XML注入	不安全的加密密钥	不安全的使用套接字
LDAP注入	不安全的密码	不正确的方法调用
XML实体注入	不安全的哈希盐	未释放数据库资源
XQuery注入	不安全的加密模式	未释放文件资源
JSON注入	不安全的密钥长度	违反信任边界
XSLT注入	不安全的反序列化	进程控制
脚本引擎代码注入	过于宽松的CORS策略	系统信息泄露
JNDI引用注入	不安全的Cookie路径	不恰当地调用系统输出流
表达式语言注入	不安全的会话过期时间	文件权限操控
...	...	...

技术、服务、政策，全方位的产品优势

新型技术

基于虚拟执行的新型代码安全分析技术，高精度、低误报，针对性的漏洞成因及修复建议信息，便于普通开发人员理解和修复漏洞

政策优势

完全自主研发的代码安全分析引擎，并非基于开源项目，也非OEM国外引擎。自主知识产权，符合信息安全产品国产化的国家信息安全战略

灵活定制

可根据客户业务及技术特点进行针对性的产品定制服务，更进一步提高代码扫描的覆盖率及准确率

专业服务

原生中文产品，本地化的技术团队，提供专业、实时、可信赖的技术支持服务