ابزار رایگان برای تجزیه و تحلیل کد استاتیک

این مقاله حاوی لیستی از ابزارهای محبوب برای تجزیه و تحلیل کد استاتیک است. خوانندگان با ویژگی های متمایز خود و ویژگی های مفید آشنا خواهند شد.

هنگامی که یک فرد نیاز به یک ابزار برای تجزیه و تحلیل کد استاتیک دارد، او ابتدا چنین راه حل های تجاری را به عنوان تقویت یا ورادی به یاد می آورد. در مورد برنامه های رایگان چه خبر؟ ابزارهای پرداخت شده برای شرکت های کوچک یا متخصصان امنیت آزاد بسیار گران هستند. به همین دلیل، این مقاله لیستی از برنامه های رایگان محبوب را تشکیل داد که تجزیه و تحلیل کد استاتیک را انجام دادند.

brakeman

• موضوع تجزیه و تحلیل: روبی.
• اجزای مورد نیاز: روبی و جواهر. نصب قطعات با استفاده از دستور "Gem Install Brakeman".
• نحوه استفاده از این ابزار: تیم "Brakeman Applate_Path".
• نظر: این بهترین برنامه برای تجزیه و تحلیل کد استاتیک روبی است. این بر روی تجزیه و تحلیل برنامه های کاربردی به اصطلاح "Rails" متمرکز است.

nodejsscan.

• موضوع تجزیه و تحلیل: Nodejs.
• اجزای مورد نیاز: فقط پایتون برای این ابزار مورد نیاز است.
• نحوه استفاده از ابزار: دستور "Python nodejsscan.py -d".
• نظر: این اسکنر بسیاری از مثبت کاذب را تعریف می کند. این به روز رسانی های دوره ای از توسعه دهندگان را دریافت می کند.

ریپ

• تجزیه و تحلیل: پی اچ پی.
• اجزای مورد نیاز: فقط PHP برای این ابزار مورد نیاز است.
• نحوه استفاده از ابزار: Rips یک برنامه وب است که در پی اچ پی نوشته شده است. کاربر نیاز به نصب آپاچی HTTP و اجرای برنامه دارد.
• نظر: این یک اسکنر فوق العاده است. او قادر به تشخیص بسیاری از مشکلات احتمالی است. متأسفانه، نسخه جدید او رایگان نیست، بنابراین اگر شما مایل به استفاده از این برنامه هستید، یک فرد باید نسخه پرداخت شده خود را خریداری کند.

findbugs

• موضوع تجزیه و تحلیل: جاوا.
• اجزای مورد نیاز: جاوا SE برای این ابزار مورد نیاز است.
• نحوه استفاده از این ابزار: شما باید برنامه JAR را باز کنید و پوشه را برای تجزیه و تحلیل کد منبع انتخاب کنید.
• نظر: Findbugs یک اسکنر عمومی است. این می تواند خطاهای مختلف و کاستی های مختلف را شناسایی کند. به طور خاص، این برنامه دارای یک ماژول امنیتی داخلی است که می تواند مشکلات مربوط به آسیب پذیری، مانند امکان حملات XSS و SQLI را پیدا کند.

مایکروسافت FXCOP.

• موضوع تجزیه و تحلیل: دات نت.
• اجزای مورد نیاز: شما نیاز به ابزار دات نت دارید.
• نحوه استفاده از یک ابزار: یک فرد برنامه را باز می کند و فایل های EXE یا DLL را انتخاب می کند.
• نظر: این یک اسکنر خوب است، او قادر به شناسایی بسیاری از آسیب پذیری ها است. این برنامه فایل های کامپایل شده را تجزیه و تحلیل خواهد کرد. اگر کاربر قبلا یک کد داشته باشد، باید آن را کامپایل کند.

jshint

• موضوع تجزیه و تحلیل: جاوا اسکریپت.
• اجزای مورد نیاز: شما نیاز به .nodejs برای ابزار. برای نصب آن، کاربر به دستور NPM INSTALL -G JSHINT وارد می شود.
• نحوه استفاده از یک ابزار: دستور "JShint Applate_Path".
• نظر: اسکنر خطاهای بسیاری را تشخیص می دهد. او قادر به پیدا کردن یک "کد بد" است، که اغلب مسئول کار معیوب یا پاسخ های نادرست است (LOL).

codecrawler

• موضوع تجزیه و تحلیل: C #.
• اجزای مورد نیاز: شما نیاز به ابزار دات نت دارید.
• نحوه استفاده از ابزار: کاربر پوشه برنامه را با کد منبع باز می کند.
• نظر: اسکنر بسیاری از مثبت کاذب را تشخیص می دهد.

یاسع

• موضوع تجزیه و تحلیل: خالص، جاوا، C / C ++، HTML، جاوا اسکریپت، ASP، Coldfucion، PHP، COBOL.
• اجزای مورد نیاز: MSI برای ابزار مورد نیاز است.
• نحوه استفاده از این ابزار: تیم "Yasca.exe Applate_Path".
• نظر: این یک اسکنر چند زبانه است. این تعداد زیادی از مثبت کاذب را تشخیص می دهد و همچنین قادر به پیدا کردن اشتباهات در کد است.

کد بصری Grepper

• موضوع تجزیه و تحلیل: C ++، C #، VB، PHP، جاوا و PL / SQL.
• اجزای مورد نیاز: MSI برای ابزار مورد نیاز است.
• نحوه استفاده از ابزار: کاربر برنامه را باز می کند و کد منبع را انتخاب می کند.
• نظر: این یک اسکنر چند زبانه است. او قادر به تشخیص بسیاری از مثبت کاذب است، اما کمتر از همان یاسک.

Graudit (فقط لینوکس)

• موضوع تجزیه و تحلیل: ASP، JSP، Perl، PHP، پایتون.
• اجزای مورد نیاز: هیچ چیز مورد نیاز - کاربر برنامه را دانلود کرده و شروع به اسکن می کند.
• نحوه استفاده از ابزار: فرمان Graudit Applate_Path.
• نظر: این اسکنر با استفاده از یک پایگاه داده بر اساس عبارات منظم استفاده می کند. بزرگترین مزیت آن این است که برنامه را می توان به راحتی پیکربندی کرد تا مشکلات سفارشی را جستجو کند. با استفاده از یک پایگاه داده پیش فرض موجود، کاربر بسیاری از مثبت کاذب را تشخیص می دهد، هرچند برخی از مشکلات واقعی همیشه نمی توانند شناسایی شوند.

کد جنگجو (فقط لینوکس)

• موضوع تجزیه و تحلیل: C، C #، PHP، Java، Ruby، ASP، جاوا اسکریپت.
• اجزای مورد نیاز: کاربر برنامه را دانلود کرده و کد را کامپایل می کند.
• نحوه استفاده از یک ابزار: یک فرد برنامه را باز می کند و کد منبع را انتخاب می کند.
• نظر: مانند Rips، این اسکنر یک برنامه وب است. با این حال، کاربر به آپاچی نیاز ندارد، کافی است که خود اسکنر را اجرا کنید، و مرورگر به طور خودکار باز خواهد شد. سپس شخص کد منبع را انتخاب می کند. این برنامه قادر به تشخیص بسیاری از مشکلات و مثبت کاذب است.

نویسنده مقاله ترجمه شده: MaxPower.

مواد جالب تر در Cisoclub.ru. مشترک شدن در ایالات متحده: فیس بوک | VK | توییتر | نمایش مشخصات عمومی | تلگرام | ذن | مسنجر | ICQ جدید | یوتیوب | نبض.