阿碼CodeSecure 3.4.2將掃描機制Web化，弱點依危害程度評分

這套阿碼科技推出的CodeSecure主要的特色，在於能夠掃描未編譯的程式碼，並根據弱點被利用的可能性統計出分數，企業可參考這個結果優先處理嚴重性高的漏洞。而針對已上線的系統，CodeSecure能將掃出來的弱點，匯出成XML檔，再搭配該公司的應用程式防火牆SmartWAF做即時的防禦。

掌握編譯技術，可掃描開發中的程式

在使用上，CodeSecure與其他產品不同之處，是硬體搭配軟體的模式。CodeSecure的掃描伺服器，是一臺架在企業內部的實體機器，專案團隊則透過純Web的操作與管理介面掃描專案檔。此外，CodeSecure也推出Workbench版，是與Visual Studio、Eclipse結合的外掛工具，讓開發者可以直接在IDE中，掃描程式碼有無安全性弱點。

多數的靜態程式碼安全性檢測產品，是在本機端執行掃描程式，然後上傳結果至伺服器端，所以Web只是呈現結果，而阿碼的特色是掌握編譯技術，因此可以不依賴開發環境，做到全面的Web化機制。

這麼做的好處，除了不會占用本機的資源，且在多人開發的情況下，不會因為掃描的時間點不同，發生檢測結果不一的情況。再者，一般需要編譯成功、沒有臭蟲（Bug）的檔案才能掃描，實際上有可能遇到工作相關的搭擋尚未完成而無法掃描，而CodeSecure掌握編譯技術，便能針對開發的半成品掃描，及時在開發的前期發現弱點，降低修補問題的成本。

支援弱點嚴重性的試算，並建議修改的優先順序

使用者上傳至CodeSecure的專案檔，可以是ZIP格式，或者是連結至由SVN、CVS等版本控管系統所集中管理的檔案，然後直接啟動掃描即可。若是需要定期掃描，可以設定排程。

檢測完成之後，CodeSecure會在網頁中以統計圖搭配列表，顯示各種弱點的數量，其他產品是依OWASP的弱點排名分類及區分風險等級。不過，這有威脅性分法上的問題，以跨網站腳本攻擊（Cross Site Scripting，XSS）為例，隨著應用系統的特性，有的XSS容易利用，有的則不然，所以並不是每個XSS的弱點嚴重性都很高。

因此CodeSecure也同時提供不同的分類法，系統能試算駭客找到弱點並加以利用的機率，再依嚴重性評分。其中，5分為最嚴重，低於2分的弱點，通常駭客幾乎利用不到。企業就可以依系統應用的特性及重要程度，決定幾分以上的弱點需要修復。

集中相關的弱點，便於聚焦處理範圍

此外，有一些弱點之間會有關聯性，例如共用某個函式，所以很可能只要修正函式的問題，就同時解決掉多個弱點問題。所以，CodeSecure透過分析引擎關聯程式之間的關係，收斂弱點數量，避免過於發散的弱點數量，造成開發人員的負擔。這部分機制與IBM AppScan同。

系統掃出來的弱點，在稽核人員審查確認問題之前，會顯示為「待處理」，而稽核人員可展開函式呼叫的流程圖，詳細了解問題發生的原因，再指派相關人員處理。

被指派的開發者點選弱點時，CodeSecure會標示有問題的函式，並以紅色標註建議修改的方式。此外，系統也提供報表，型式有HTML及PDF兩種，內容包括全中文化的弱點解釋、嚴重性、後果、修正建議資訊，CodeSecure也提供對應的範例程式，甚至包含攻擊範例，幫助開發者更深刻了解漏洞可能造成的問題及修正方法。