Principals eines gratuïtes per a l'anàlisi de codi estàtic

Aquest article contindrà una llista d'eines populars per a l'anàlisi de codi estàtic. Els lectors es familiaritzaran amb les seves propietats distintius i funcions útils.

Quan una persona necessita una eina per a l'anàlisi de codi estàtic, primer recorda solucions comercials com fortify o veracode. Què passa amb els programes lliures? Les eines de pagament són massa costoses per a petites empreses o especialistes en seguretat independents. Per aquest motiu, aquest article es va reunir una llista de programes gratuïts populars que realitzen una anàlisi de codi estàtic.

Brakeman.

• Anàlisi Assumpte: Ruby.
• Components necessaris: robí i joia. Instal·lació de components mitjançant l'ordre "Gem Install Brakeman".
• Com utilitzar l'eina: l'equip "Brakeman Application_path".
• Comentari: Aquest és el millor programa d'anàlisi de codi Ruby estàtic. Es centra en l'anàlisi de les anomenades aplicacions "en rails".

Nodejsscan.

• Anàlisi Assumpte: Nodejs.
• Components necessaris: només es necessita Python per a l'eina.
• Com utilitzar l'eina: ordre "Python nodejsscan.py -d".
• Comentari: Aquest escàner defineix molts falsos positius. Rep actualitzacions periòdiques dels desenvolupadors.

Traieu.

• Anàlisi: PHP.
• Components necessaris: només es necessita PHP per a l'eina.
• Com utilitzar l'eina: RIPS és una aplicació web escrita en PHP. L'usuari ha d'instal·lar Apache HTTP i executar el programa.
• Comentari: Aquest és un escàner meravellós. És capaç de detectar molts problemes possibles. Malauradament, la seva nova versió no és gratuïta, de manera que si voleu utilitzar aquest programa, una persona haurà de comprar la seva versió de pagament.

Findbugs.

• Anàlisi Assumpte: Java.
• Components necessaris: es necessita Java SE per a l'eina.
• Com utilitzar l'eina: cal obrir l'aplicació JAR i seleccionar la carpeta per analitzar el codi font.
• Comentari: FindBugs és un escàner de propòsit general. És capaç de detectar diferents errors i deficiències en el codi. En particular, el programa disposa d'un mòdul de seguretat integrat, que pot trobar problemes associats a la vulnerabilitat, com ara la possibilitat d'atacs Xss i SQLI.

Microsoft FXCOP.

• Anàlisi Assumpte: .net.
• Components necessaris: necessiteu eina .NET.
• Com utilitzar una eina: una persona obre l'aplicació i selecciona els fitxers EXE o DLL.
• Comentari: Aquest és un bon escàner, és capaç de detectar la majoria de les vulnerabilitats. El programa analitzarà fitxers compilats. Si l'usuari ja té un codi, haurà de compilar-lo.

Jshint.

• Assumpte d'anàlisi: JavaScript.
• Components necessaris: necessiteu .nodejs per a l'eina. Per instal·lar-lo, l'usuari entra a l'ordre npm instal·lar-se jshint.
• Com utilitzar una eina: comanda "Jshint Application_path".
• Comentari: l'escàner detecta molts errors. És capaç de trobar un "codi dolent", que sovint és responsable del treball defectuós o de les respostes falses (LOL).

Codecrawler

• Anàlisi Assumpte: C #.
• Components necessaris: necessiteu eina .NET.
• Com utilitzar l'eina: l'usuari obre la carpeta d'aplicació amb el codi font.
• Comentari: l'escàner detecta molts falsos positius.

Yasca.

• Anàlisi Assumpte: Net, Java, C / C ++, HTML, JavaScript, ASP, ColdFucion, PHP, COBOL.
• Components necessaris: es necessita MSI per a l'eina.
• Com utilitzar l'eina: l'equip "yasca.exe application_path".
• Comentari: es tracta d'un escàner multilingüe. Detecta un gran nombre de falsos positius, i també és capaç de trobar inexactituds en el codi.

Codi Visual Grepper.

• Objecte d'anàlisi: C ++, C #, VB, PHP, Java i PL / SQL.
• Components necessaris: es necessita MSI per a l'eina.
• Com utilitzar l'eina: l'usuari obre l'aplicació i selecciona el codi font.
• Comentari: es tracta d'un escàner multilingüe. És capaç de detectar molts falsos positius, però menys que la mateixa yasca.

Graudit (només Linux)

• Anàlisi Assumpte: ASP, JSP, Perl, PHP, Python.
• Components necessaris: res necessari: l'usuari descarrega l'aplicació i comença a escanejar.
• Com utilitzar l'eina: l'ordre graudit application_path.
• Comentari: aquest escàner utilitza una base de dades basada en expressions regulars. El seu major avantatge és que l'aplicació es pot configurar fàcilment per cercar problemes personalitzats. Utilitzant una base de dades predeterminada existent, l'usuari detecta molts falsos positius, encara que no sempre es poden detectar alguns problemes reals.

Codi Warrior (només Linux)

• Anàlisi Assumpte: C, C #, PHP, Java, Ruby, ASP, JavaScript.
• Components necessaris: l'usuari descarrega el programa i recopila el codi.
• Com utilitzar una eina: una persona obre l'aplicació i selecciona el codi font.
• Comentari: Com Rips, aquest escàner és una aplicació web. Tanmateix, l'usuari no necessita Apache, és suficient per executar l'escàner, i el navegador s'obrirà automàticament. A continuació, la persona tria el codi font. El programa és capaç de detectar molts problemes i falsos positius.

L'autor de l'article traduït: Maquower.

Material més interessant a Cisoclub.ru. Subscriviu-nos a nosaltres: Facebook | Vk | Twitter | Instagram | Telegrama | Zen | Missatgera ICQ NOU | Youtube | Pols.