代码安全审查系统

　　近几年重大安全事件的频频发生，显示了当前信息系统安全形势的严峻性，仅仅依靠传统的安全防护机制来保障信息安全的做法已经逐渐力不从心。软件代码是构建系统信息的基础组件，软件代码中安全漏洞和未声明功能（后门）的存在是安全事件频繁发生的根源。忽视软件代码自身的安全性，仅仅依靠外围的防护、事后的修补等方法，舍本逐末，必然事倍功半。只有通过管理和技术手段保障了软件代码自身的安全性，再辅以各种安全防护手段，才是解决当前安全问题的根本解决之道。

来自互联网安全中心的一组数据：软件开发通常会引入缺陷，普通软件工程师的缺陷密度一般为50~250个缺陷/KLOC（缺陷/千行源代码）。由于有严格的软件开发质量管理机制和多重测试环节，成熟的软件公司的缺陷率要低得多，普通软件开发公司的缺陷密度为4～40个缺陷/KLOC；高水平的软件公司的缺陷密度为2～4个缺陷/KLOC而美国NASA的软件缺陷密度可低至0.1个缺陷/KLOC。

根据我们多年的源代码缺陷测试实践统计，国产软件平均的缺陷密度为6个缺陷/KLOC，假设1%的安全缺陷是可被黑客恶意利用实施攻击的，则一个网银客户端大小的软件将可能存在3-6个可被利用的漏洞，由此可见国内源代码安全形势的严峻性。

基于上述原因，我们提供一套源代码安全分析解决方案，面向源代码安全需求开发的基于软件安全开发生命周期管理的新一代源代码安全检测系统。在不改变组织现有开发流程的前提下,与组织代码仓库(如SVN)、Bug管理系统（如Bugzilla）无缝对接，实现开发过程中的源代码缺陷管理及合规管理，以最小代价帮助组织实现源代码安全目标设定、自动化检测、目标差距分析、Bug 修复跟踪等功能，实现源代码安全的可视化管理。

产品架构：