Statik kod təhlili üçün ən yaxşı pulsuz vasitələr

Bu məqalədə statik kod təhlili üçün məşhur vasitələrin siyahısı olacaq. Oxucular fərqləndirici xüsusiyyətləri və faydalı xüsusiyyətləri ilə tanış olacaqlar.

Bir şəxsin statik kodu təhlili üçün bir vasitə ehtiyacı olduqda, əvvəlcə bu cür kommersiya həllərini möhkəmləndirmək və ya veracod kimi xatırlayır. Pulsuz proqramlar haqqında nə demək olar? Ödənilmiş alətlər kiçik şirkətlər və ya sərbəst təhlükəsizlik mütəxəssisləri üçün çox bahadır. Bu səbəbdən bu məqalə, statik kod analizini həyata keçirən populyar pulsuz proqramların siyahısı toplandı.

Brakeman.

• Təhlil mövzusu: Yaqut.
• Tələb olunan komponentlər: Yaqut və Gem. "GEM quraşdırın Brakeman" əmrindən istifadə edərək komponentlərin quraşdırılması.
• Aləti necə istifadə etmək olar: "Brakeman tətbiqi_path" komandası.
• Şərh: Bu statik yaqut kodu təhlili üçün ən yaxşı proqramdır. Qondarma "relslərdə" tətbiqetmələrinin təhlilinə yönəldilmişdir.

Nodejsscan.

• Təhlil mövzusu: nodejs.
• Tələb olunan komponentlər: Alət üçün yalnız piton lazımdır.
• Aləti necə istifadə etmək olar: "Python nodejsscan.py -d" əmri.
• Şərh: Bu skaner bir çox saxta pozitiv müəyyən edir. Tərtibatçılardan dövri yeniləmələri alır.

Rips.

• Təhlil: PHP.
• Tələb olunan komponentlər: Alət üçün yalnız PHP lazımdır.
• Aləti necə istifadə etmək olar: Rips PHP-də yazılmış bir veb tətbiqidir. İstifadəçi Apache HTTP qurmalı və proqramı işə salmalıdır.
• Şərh: Bu gözəl bir skanerdir. Çox mümkün problemləri aşkar edə bilir. Təəssüf ki, onun yeni versiyası pulsuz deyil, buna görə də bu proqramı istifadə etmək istəyirsinizsə, bir insan pullu versiyasını satın almalı olacaq.

FindBugs.

• Təhlil mövzusu: Java.
• Tələb olunan komponentlər: Java SE alət üçün lazımdır.
• Aləti necə istifadə etmək olar: Jar tətbiqetməsini açmaq və mənbə kodunu təhlil etmək üçün qovluğu seçin.
• Şərh: FindBugs ümumi məqsədli skanerdir. Kodda fərqli səhvləri və çatışmazlıqları aşkar edə bilir. Xüsusilə, proqramda XSS və SQLI hücumları kimi, həssaslıqla əlaqəli problemləri tapa biləcək daxili təhlükəsizlik modulu var.

Microsoft fxcop.

• Təhlil mövzusu: .NET.
• Tələb olunan komponentlər: .NET alətinə ehtiyacınız var.
• Bir aləti necə istifadə etmək olar: bir insan tətbiqi açır və exe və ya dll fayllarını seçir.
• Şərh: Bu yaxşı bir skanerdir, o, ən çox zəifliyi aşkar edə bilir. Proqram tərtib edilmiş faylları təhlil edəcəkdir. İstifadəçinin artıq bir kodu varsa, onu tərtib etmək lazımdır.

Jshint.

• Təhlil mövzusu: JavaScript.
• Tələb olunan komponentlər: Alət üçün .Nodejs lazımdır. Quraşdırmaq üçün istifadəçi NPM quraşdırılmasına --g Jshint əmrinə daxil olur.
• Bir vasitədən necə istifadə etmək olar: "Jshint tətbiqi_path" əmri.
• Şərh: Skaner bir çox səhvləri aşkar edir. O, tez-tez səhv iş və ya saxta cavablar (lol) üçün məsuliyyət daşıyan "pis kod" tapa bilir.

Kodekrawler

• Təhlil mövzusu: C #.
• Tələb olunan komponentlər: .NET alətinə ehtiyacınız var.
• Aləti necə istifadə etmək olar: İstifadəçi Tətbiq qovluğunu mənbə kodu ilə açır.
• Şərh: Skaner bir çox saxta pozitiv aşkar edir.

Yasca.

• Təhlil mövzusu: xalis, Java, C / C ++, HTML, JavaScript, ASP, ColdFucion, PHP, COBOL.
• Tələb olunan komponentlər: MSI alət üçün lazımdır.
• Aləti necə istifadə etmək olar: Komanda "Yasca.exe tətbiqi_path".
• Şərh: Bu çoxdilli bir skanerdir. Çox sayda saxta pozitiv aşkar edir və kodda da qeyri-dəqiqlik tapmağı bacarır.

Vizual kod Grepper.

• Təhlil mövzusu: C ++, C #, VB, PHP, Java və PL / SQL.
• Tələb olunan komponentlər: MSI alət üçün lazımdır.
• Aləti necə istifadə etmək olar: İstifadəçi tətbiqi açır və mənbə kodunu seçir.
• Şərh: Bu çoxdilli bir skanerdir. O, çox sayda saxta pozitiv aşkar edə bilir, lakin eyni yaraşadan azdır.

Gaudit (yalnız Linux)

• Təhlil mövzusu: ASP, JSP, Perl, PHP, Python.
• Tələb olunan komponentlər: Heç bir şey lazım deyil - istifadəçi tətbiqi yükləyir və tarama başlayır.
• Aləti necə istifadə etmək olar: Graudit tətbiqi_path əmri.
• Şərh: Bu skaner adi ifadələrə əsaslanan bir verilənlər bazasından istifadə edir. Onun ən böyük üstünlüyü, xüsusi problemləri axtarmaq üçün tətbiqin asanlıqla konfiqurasiya edilə bilməsidir. Mövcud standart verilənlər bazasından istifadə edərək, istifadəçi bir çox saxta pozitiv aşkar edir, baxmayaraq ki, bəzi real problemlər həmişə aşkar edilə bilməz.

Kod Warrior (yalnız Linux)

• Təhlil mövzusu: C, C #, PHP, Java, Yaqut, ASP, JavaScript.
• Tələb olunan komponentlər: İstifadəçi proqramı yükləyir və kodu tərtib edir.
• Bir vasitə necə istifadə etmək olar: bir insan tətbiqi açır və mənbə kodunu seçir.
• Şərh: Yırtıqlar kimi, bu skaner bir veb tətbiqidir. Bununla birlikdə, istifadəçiyə Apache-də lazım deyil, skanerin özünü idarə etmək kifayətdir və brauzer avtomatik olaraq açılacaqdır. Sonra şəxs mənbə kodunu seçir. Proqram bir çox problemi və saxta pozitiv aşkar edə bilir.

Tərcümə edilmiş məqalənin müəllifi: MaxPower.

Cisoclub.ru-da daha maraqlı material. Bizə abunə olun: Facebook | Vk | Twitter | İnstaqram | Telegram | Zen | Messenger | ICQ Yeni | YouTube | Nəbz.