Java静态应用程序安全测试 (SAST) 工具

工具介绍

YuC0de (雨蔻) 是一款无需编译的Java静态应用程序安全测试 (SAST) 工具。它结合了代码属性图 (CPG) 分析技术与大语言模型 (LLM) 的语义理解能力,能够高效、准确地识别代码中的安全漏洞。YuC0de 通过解析源代码构建属性图,追踪数据流与控制流,并引入 AI 审计模块对检测结果进行二次校验,显著降低了误报率。它支持对 Java 语言项目的安全审计,覆盖 SQL 注入、远程代码执行 (RCE)、服务端请求伪造 (SSRF) 等多种高危漏洞类型。

核心亮点

  • 无需编译:直接对Java源代码进行解析和分析,无需配置复杂的构建环境,极大降低了使用门槛。
  • 双重引擎:融合了基于规则的静态分析引擎与基于 AI 的智能审计引擎,兼顾了检测速度与准确性。
  • 图驱动分析:内置代码属性图 (CPG) 构建模块,支持深入的数据流分析和污点追踪,能够发现跨函数、跨文件的复杂漏洞。
  • 可视化交互:提供直观的 Web 界面,支持漏洞链路的可视化展示、代码预览以及扫描规则的在线编辑。
  • AI 赋能:自实现类似langgraph架构对扫描结果进行多轮智能研判,自动识别误报并提供修复建议。

功能展示

主页:

AI参数配置:

新建扫描任务(可选择是否开启AI审计):

扫描结果详情:

AI分析可标记误报,降低人工审核成本:

图分析可以查看项目中的类/方法/变量的CPG上下游节点(考虑到前端渲染压力,展示的简化后的图):

规则管理,可启用/禁用/新建/删除规则:

规则编辑:

工具下载

复制代码
https://github.com/Yuy0ung/YuC0de
相关推荐
持力行33 分钟前
C++与Java变量声明、定义及内存分配的核心区别
java·开发语言·c++
接着奏乐接着舞3 小时前
大模型开发 agent 知识库
java
xuhaoyu_cpp_java3 小时前
SpringBoot学习(四)
java·经验分享·spring boot·笔记·学习
plainGeekDev3 小时前
kapt 替换为 KSP
android·java·kotlin
蜡台3 小时前
通过Gradle脚本声明更改Java变量
android·java·开发语言·python·kotlin·gradle·groovy
程序员天天困4 小时前
后端视角看 EventBus:发布订阅总线的原理、场景与用法
java·后端
要开心吖ZSH4 小时前
AI医疗分诊与健康咨询助手agent开发——(4-2)从零到一:我给AI医疗分诊助手加了个“知识库大脑“,终于搞懂了RAG是什么
java·docker·agent·医疗·rag
AI人工智能+电脑小能手5 小时前
【大白话说Java面试题 第179题】【07_Redis篇】第15题:什么是 Redlock 算法?
java·redis·分布式锁·高可用·redlock
怎么比啊都是大神6 小时前
关于==null、isEmpty()和StrUtil.isBlank()
java
唐青枫6 小时前
Java Neo4j 实战指南:从图模型、Cypher 到 Spring Boot 关系查询
java