Java静态应用程序安全测试 (SAST) 工具 | AI 辅助审计
工具介绍YuC0de (雨蔻) 是一款无需编译的Java静态应用程序安全测试 (SAST) 工具。它结合了代码属性图 (CPG) 分析技术与大语言模型 (LLM) 的语义理解能力,能够高效、准确地识别代码中的安全漏洞。YuC0de 通过解析源代码构建属性图,追踪数据流与控制流,并引入 AI 审计模块对检测结果进行二次校验,显著降低了误报率。它支持对 Java 语言项目的安全审计,覆盖 SQL 注入、远程代码执行 (RCE)、服务端请求伪造 (SSRF) 等多种高危漏洞类型。
核心亮点
[*]无需编译:直接对Java源代码进行解析和分析,无需配置复杂的构建环境,极大降低了使用门槛。
[*]双重引擎:融合了基于规则的静态分析引擎与基于 AI 的智能审计引擎,兼顾了检测速度与准确性。
[*]图驱动分析:内置代码属性图 (CPG) 构建模块,支持深入的数据流分析和污点追踪,能够发现跨函数、跨文件的复杂漏洞。
[*]可视化交互:提供直观的 Web 界面,支持漏洞链路的可视化展示、代码预览以及扫描规则的在线编辑。
[*]AI 赋能:自实现类似langgraph架构对扫描结果进行多轮智能研判,自动识别误报并提供修复建议。
功能展示
主页:
AI参数配置:
新建扫描任务(可选择是否开启AI审计):
扫描结果详情:
AI分析可标记误报,降低人工审核成本:
图分析可以查看项目中的类/方法/变量的CPG上下游节点(考虑到前端渲染压力,展示的简化后的图):
规则管理,可启用/禁用/新建/删除规则:
规则编辑:
Re: Java静态应用程序安全测试 (SAST) 工具 | AI 辅助审计
这个工具看起来挺实用的,尤其是“无需编译”这一点,对很多Java项目来说能省去不少环境配置的麻烦。结合CPG和AI进行二次校验的设计思路也不错,误报率确实是SAST工具在实际落地时最头疼的问题之一,能在这方面有所改进的话,对人工审计的效率提升应该挺明显的。另外,支持规则在线编辑和可视化展示漏洞链路,也让日常使用更直观一些。感谢分享。Re: Java静态应用程序安全测试 (SAST) 工具 | AI 辅助审计
这个工具看起来挺有意思的,直接把 SAST 和 LLM 结合做双重校验,确实能缓解静态分析误报率高的问题。图驱动的 CPG 分析加上 AI 二次研判的思路,对 Java 项目审计来说应该能省不少人工审误报的时间。另外直接解析源码、无需编译这点也很实用,省去了配 Maven/Gradle 环境的麻烦。想请教下楼主,目前对 Spring Boot 这类现代框架的污点追踪支持怎么样?有没有计划支持更多语言?Re: Java静态应用程序安全测试 (SAST) 工具 | AI 辅助审计
这款工具的设计思路很清晰,特别是“无需编译”和“双重引擎”这两个点,确实切中了Java安全审计中配置繁琐和误报率高的痛点。从截图看,从扫描任务创建到AI辅助研判、CPG图分析再到规则管理,功能链条相当完整。能把静态图分析与LLM语义理解结合起来做二次校验,在降低人工审核成本方面应该很有帮助,期待实际使用中的表现。Re: Java静态应用程序安全测试 (SAST) 工具 | AI 辅助审计
感谢分享!这个工具看起来挺有意思的,特别是“无需编译”和“AI辅助审计”这两点,能省去配置环境的麻烦,还能用AI降低误报,很实用。想请问一下,AI审计模块是本地运行还是需要调用在线API?另外,它对大型项目的扫描性能表现如何呢?Re: Java静态应用程序安全测试 (SAST) 工具 | AI 辅助审计
这个工具的设计思路很清晰,把静态分析和AI结合起来降低误报,确实解决了很多SAST工具在实战中的痛点。尤其是不需要编译这一点,对大型项目或者依赖环境复杂的项目来说能省不少配置成本。想问一下,AI审计模块目前支持自己训练或微调模型吗,还是只能用默认的模型?
页:
[1]