Top Free Tools por Static Code Analizo

Ĉi tiu artikolo enhavos liston de popularaj iloj por statika kodo-analizo. Legantoj konatiĝos kun iliaj distingaj trajtoj kaj utilaj ecoj.

Kiam persono bezonas ilon por statika kodo-analizo, li unue memoras tiajn komercajn solvojn kiel fortikigi aŭ voreton. Kio pri senpagaj programoj? Pagitaj iloj estas tro multekostaj por malgrandaj kompanioj aŭ sendependaj sekurecaj specialistoj. Tial, ĉi tiu artikolo kunvenis liston de popularaj senpagaj programoj, kiuj plenumas statikan analizon.

Brakeman.

• Analiza temo: Ruby.
• Bezonataj komponantoj: Ruby kaj Gem. Instalado de komponantoj uzantaj la komandon "Gem Install Brakeman".
• Kiel uzi la ilon: Teamo "Brakera-aplikaĵo_path".
• Komento: Ĉi tio estas la plej bona programo por statika Ruby-koda analizo. I estas koncentrita pri la analizo de la tielnomitaj "ĉe reloj" aplikoj.

NodeJssscan.

• Analiza temo: nodeJs.
• Bezonataj komponantoj: Nur Python necesas por la ilo.
• Kiel Uzi la ilon: "Python NodeJsscan.Py -D" komando.
• Komento: Ĉi tiu skanilo difinas multajn falsajn pozitivaĵojn. I ricevas periodajn ĝisdatigojn de programistoj.

Rips.

• Analizo: PHP.
• Bezonataj komponantoj: Nur PHP necesas por la ilo.
• Kiel uzi la ilon: Rips estas reta apliko skribita en PHP. La uzanto bezonas instali Apache HTTP kaj kuri la programon.
• Komento: Ĉi tio estas mirinda skanilo. Li kapablas detekti multajn eblajn problemojn. Bedaŭrinde, lia nova versio ne estas senpaga, do se vi volas uzi ĉi tiun programon, persono devos aĉeti sian pagitan version.

Findbugs.

• Temo de analizo: Java.
• Bezonataj komponantoj: Java SE estas bezonata por la ilo.
• Kiel uzi la ilon: Vi devas malfermi la JAR-aplikaĵon kaj elekti la dosierujon por analizi la fontkodon.
• Komento: FindBugs estas ĝenerala celo-skanilo. I kapablas detekti malsamajn erarojn kaj mankojn en la kodo. Aparte, la programo havas enmetitan sekurecan modulon, kiu povas trovi problemojn ligitajn kun vundebleco, kiel ekzemple la eblo de xss kaj sqli-atakoj.

Microsoft FXCop.

• Analiza temo: .NET.
• Bezonataj komponantoj: Vi bezonas .NET-ilon.
• Kiel uzi ilon: persono malfermas la aplikaĵon kaj elektas la dosierojn EXE aŭ DLL.
• Komento: Ĉi tio estas bona skanilo, li kapablas detekti plej multajn vundeblojn. La programo analizos kompilitajn dosierojn. Se la uzanto jam havas kodon, li bezonos kompili ĝin.

JSHINT.

• Analiza temo: JavaScript.
• Bezonataj komponantoj: Vi bezonas .nodejs por la ilo. Por instali ĝin, la uzanto eniras la NPM-instalan komandon.
• Kiel uzi ilon: "JSHint Application_Path" komando.
• Komento: La skanilo detektas multajn erarojn. Li kapablas trovi "malbonan kodon", kiu ofte respondecas pri misaj laboroj aŭ falsaj respondoj (lol).

CodeCrawler

• Analiza temo: C #.
• Bezonataj komponantoj: Vi bezonas .NET-ilon.
• Kiel uzi ilon: la uzanto malfermas la dosierujon de la aplikaĵo kun la fontkodo.
• Komento: La skanilo detektas multajn falsajn pozitivaĵojn.

Yasca.

• Analizo: Net, Java, C / C ++, HTML, Javascript, ASP, ColdFucion, PHP, COBOL.
• Bezonataj komponantoj: MSI necesas por la ilo.
• Kiel Uzi la ilon: Teamo "Yasca.exe Application_Path".
• Komento: Ĉi tio estas plurlingva skanilo. I detektas grandan nombron da falsaj pozitivaj, kaj ankaŭ povas trovi malĝustaĵojn en la kodo.

Vida Kodo Grepper.

• Analiza temo: C ++, C #, VB, PHP, Java kaj PL / SQL.
• Bezonataj komponantoj: MSI necesas por la ilo.
• Kiel uzi ilon: la uzanto malfermas la aplikaĵon kaj elektas la fontkodon.
• Komento: Ĉi tio estas plurlingva skanilo. Li kapablas detekti multajn falsajn pozitivaĵojn, sed malpli ol la sama Yasca.

Graudit (nur Linukso)

• Analiza temo: ASP, JSP, Perl, PHP, Python.
• Bezonataj komponantoj: Nenio bezonata - la uzanto elŝutas la aplikaĵon kaj komencas skani.
• Kiel Uzi la ilon: La Graudit Application_Path Command.
• Komento: Ĉi tiu skanilo uzas datumbazon bazitan sur regulaj esprimoj. Ia plej granda avantaĝo estas, ke la aplikaĵo povas esti facile agordita por serĉi kutimajn problemojn. Uzante ekzistantan defaŭltan datumbazon, la uzanto detektas multajn falsajn pozitivaĵojn, kvankam iuj realaj problemoj ne ĉiam povas esti detektitaj.

Kodo Warrior (Nur Linukso)

• Analiza temo: C, C #, PHP, Java, Ruby, ASP, Javascript.
• Bezonataj komponantoj: la uzanto elŝutas la programon kaj kompilas la kodon.
• Kiel uzi ilon: persono malfermas la aplikaĵon kaj elektas la fontkodon.
• Komento: Kiel Rips, ĉi tiu skanilo estas apliko retejo. Tamen, la uzanto ne bezonas apache, sufiĉas kuri la skanilon mem, kaj la retumilo aŭtomate malfermiĝos. Tiam la persono elektas la fontkodon. La programo kapablas detekti multajn problemojn kaj falsajn pozitivaĵojn.

La aŭtoro de la tradukita artikolo: MaxPower.

Pli interesa materialo pri Cisoclub.ru. Abonu nin: Facebook | Vk | Twitter | Instagram | Telegramo | Zen | Messenger | ICQ New | YouTube | Pulso.