0x00 Xcheck 能力再受认可

近日，由中国信息通信研究院主办的 2022 首届软件供应链安全论坛在北京召开，会上正式发布：腾讯代码安全检查工具 Xcheck 通过了《静态应用程序安全测试工具能力要求》评估。

为了从软件生命周期的源头保障软件供应链安全，自 2019 年以来，中国信通院联合腾讯在内的众多国内知名企业，共同编制了《软件供应链安全保障基本要求》、《可信研发运营安全能力成熟度》、《静态应用程序安全测试工具能力要求》、《交互式应用程序安全测试工具能力要求》等软件供应链安全相关标准。基于以上系列标准，中国信通院对国内多个企业开展了严格的测试与评估。凭借优异的性能和在代码安全实践中的表现，Xcheck 通过了此次静态应用程序安全测试工具的能力评估。

0x01 关于 Xcheck

Xcheck 是腾讯自研的新一代静态应用安全测试（SAST）工具，采用创新的技术路线，基于成熟的污点分析技术与对抽象语法树的精准剖解，实现了快速精准的识别代码风险。

作为新一代的 SAST 工具，Xcheck 解决了传统白盒扫描速度慢、误报高的通病，非常适合集成到 DevOps 的流水线当中使用。当前腾讯内部已全面使用 Xcheck 作为 DevOps 开发环节中的必备检测工具。

针对 Golang、Java、Nodejs、PHP、Python 等常用语言，Xcheck 引擎算法具有非常明显优势，能够实现每秒万行的扫描，速度是同类工具的几十倍。同时，Xcheck 产品经过每年数百万个真实项目统计，工具自身误报率可控制在 10%以下，远低于同类工具。

0x02 新控制台抢先看

Xcheck 一直在持续迭代，在不断提升核心引擎扫描分析能力的同时，控制台也经历了多次重构优化，针对灵活性、扩展性、兼容性、安全性、用户体验等方面进行充分的思考和设计，以满足用户在不同场景下的使用需求。

整体架构

如下图所示，Xcheck 整体采用客户端-服务端的架构，服务端的各个组件均支持水平伸缩，使得 Xcheck 可以支撑海量的分析任务。

使用场景

Xcheck 支持多种使用场景，可以帮助用户在研发的各个阶段发现代码中的安全风险

Web 图形页面

用户可以通过 Web 页面来使用 Xcheck

API 接口调用

Xcheck 提供丰富的 API 接口，供用户进行调用，用户可以基于 API 开发自己的插件

命令行调用

Xcheck 也提供命令行工具：xcheck-cli，只需要简单的命令就能对本地代码进行安全分析

CI/CD 插件

Xcheck 提供常见 CI/CD 平台的流水线插件，如腾讯 Coding、蓝鲸、Jenkins 等，凭借优异的分析速度，能够在制品构建环节发现安全风险，避免漏洞发布到生产环境

本地 IDE 插件

Xcheck 提供常见 IDE 的插件，让用户在开发阶段可以快速发现并修复安全风险

分析模式

Xcheck 支持多种分析模式，包括：

• 全量分析/增量分析
• 并发分析/定时分析

告警形式

Xcheck 支持多种告警通知形式，包括：邮件、短信、企业微信

报告格式

Xcheck 支持导出多种格式的报告，也可以自定义报告内容

辅助功能

Xcheck 希望用户在分析代码、定位缺陷、修复缺陷等操作中，能够获得良好的用户体验，为此，我们提供这些辅助能力

• 实时查看分析进度
• 手动启停分析任务

• 缺陷定位、溯源
• 缺陷介绍与修复指引

• 集中管理任务/项目

• 多维度数据统计与展示

集成扩展

扩展性是一款成熟商业产品的必备能力，Xcheck 支持集成其他工具或作为第三方工具被集成

集成其他工具

Xcheck 提供导入结果功能，可以导入其他工具的扫描结果，作为一次分析记录在 Xcheck 中展示

同时，Xcheck 底层也支持多引擎分析能力，只要实现相关接口，就能在分析时调用其他引擎来进行分析，结果会一并展示在页面中

被集成

Xcheck 提供了丰富的 API 接口，可以通过 API 来调用 Xcheck 来分析代码并获取结果，只要将结果转换为对应平台支持的结果格式并导入，即可在其他工具平台展示

0x03 体验环境正式开放!

即日起，Xcheck 在线体验环境正式开放，

访问体验地址或点击阅读原文即可体验！

https://xcheck.tencent.com/

每个用户默认可以创建 20 个分析任务，可分析代码行数 20w 行

欢迎反馈漏报/误报或提出产品使用上的建议。