Top outils gratuits pour analyse de code statique

Cet article contiendra une liste d'outils populaires pour l'analyse de code statique. Les lecteurs seront familiarisés avec leurs propriétés distinctives et leurs fonctionnalités utiles.

Lorsqu'une personne a besoin d'un outil pour l'analyse de code statique, il se souvient d'abord de telles solutions commerciales que FORTIFY ou VERACODE. Qu'en est-il des programmes gratuits? Les outils payants sont trop chers pour les petites entreprises ou les spécialistes de la sécurité indépendante. Pour cette raison, cet article a été assemblé une liste de programmes gratuits populaires qui effectuent une analyse de code statique.

Brakeman.

• Objet d'analyse: Ruby.
• Composants requis: Ruby et Gem. Installation des composants à l'aide de la commande «GEM Installez Brakeman».
• Comment utiliser l'outil: Équipe "Application Brakeman Application_Path".
• Commentaire: C'est le meilleur programme d'analyse de code de rubis statique. Il est axé sur l'analyse des applications dites «sur rails».

Nodejsscan.

• Objet d'analyse: NODEJS.
• Composants requis: Seul python est nécessaire pour l'outil.
• Comment utiliser l'outil: "Python nodejsscan.py -d" commande.
• Commentaire: Ce scanner définit de nombreux faux positifs. Il reçoit des mises à jour périodiques des développeurs.

Déchire.

• Analyse: PHP.
• Composants requis: seul PHP est nécessaire pour l'outil.
• Comment utiliser l'outil: Rips est une application Web écrite dans PHP. L'utilisateur doit installer Apache HTTP et exécuter le programme.
• Commentaire: C'est un scanner merveilleux. Il est capable de détecter de nombreux problèmes possibles. Malheureusement, sa nouvelle version n'est pas gratuite, donc si vous souhaitez utiliser ce programme, une personne devra acheter sa version payante.

Findbugs.

• Analyse Objet: Java.
• Composants requis: Java SE est nécessaire pour l'outil.
• Comment utiliser l'outil: Vous devez ouvrir l'application JAR et sélectionner le dossier pour analyser le code source.
• Commentaire: Findbugs est un scanner à usage général. Il est capable de détecter différentes erreurs et faiblesses dans le code. En particulier, le programme dispose d'un module de sécurité intégré, qui peut trouver des problèmes liés à la vulnérabilité, tels que la possibilité d'attaques XSS et SQLI.

Microsoft FXCop.

• Objet d'analyse: .NET.
• Composants requis: vous avez besoin de .NET TOOL.
• Comment utiliser un outil: une personne ouvre l'application et sélectionne les fichiers EXE ou DLL.
• Commentaire: Il s'agit d'un bon scanner, il est capable de détecter la plupart des vulnérabilités. Le programme analysera des fichiers compilés. Si l'utilisateur dispose déjà d'un code, il aura besoin de la compiler.

JSHINT.

• Objet d'analyse: JavaScript.
• Composants requis: vous avez besoin de .nodejs pour l'outil. Pour l'installer, l'utilisateur entre dans la commande NPM install -g JSHINT.
• Comment utiliser un outil: la commande "jshint Application_Path".
• Commentaire: Le scanner détecte de nombreuses erreurs. Il est capable de trouver un "mauvais code", qui est souvent responsable du travail défectueux ou des fausses réponses (lol).

Codecrawler

• Analyse Objet: C #.
• Composants requis: vous avez besoin de .NET TOOL.
• Comment utiliser l'outil: L'utilisateur ouvre le dossier d'application avec le code source.
• Commentaire: Le scanner détecte beaucoup de faux positifs.

Yasca.

• Analyse Objet: Net, Java, C / C ++, HTML, JavaScript, ASP, Coldfucion, PHP, Cobol.
• Composants requis: MSI est nécessaire pour l'outil.
• Comment utiliser l'outil: Team "Yasca.exe Application_Path".
• Commentaire: Il s'agit d'un scanner multilingue. Il détecte un grand nombre de faux positifs et est également capable de trouver des inexactitudes dans le code.

Code visuel Grepper.

• Analyse Objet: C ++, C #, VB, PHP, Java et PL / SQL.
• Composants requis: MSI est nécessaire pour l'outil.
• Comment utiliser l'outil: L'utilisateur ouvre l'application et sélectionne le code source.
• Commentaire: Il s'agit d'un scanner multilingue. Il est capable de détecter beaucoup de faux positifs, mais moins que le même Yasca.

Graduit (seulement Linux)

• Analyse Objet: ASP, JSP, PERL, PHP, Python.
• Composants requis: rien n'est nécessaire - l'utilisateur télécharge l'application et démarre la numérisation.
• Comment utiliser l'outil: la commande graudit application_path.
• Commentaire: Ce scanner utilise une base de données basée sur des expressions régulières. Son principal avantage est que l'application peut être facilement configurée pour rechercher des problèmes personnalisés. Utilisation d'une base de données par défaut existante, l'utilisateur détecte de nombreux faux positifs, bien que certains problèmes réels ne puissent pas toujours être détectés.

Guerrier de code (Seulement Linux)

• Analyse Objet: C, C #, PHP, Java, Ruby, ASP, JavaScript.
• Composants requis: L'utilisateur télécharge le programme et compose le code.
• Comment utiliser un outil: une personne ouvre l'application et sélectionne le code source.
• Commentaire: Comme des déchirures, ce scanner est une application Web. Cependant, l'utilisateur n'a pas besoin d'Apache, il suffit d'exécuter le scanner lui-même et le navigateur s'ouvre automatiquement. Ensuite, la personne choisit le code source. Le programme est capable de détecter de nombreux problèmes et de faux positifs.

L'auteur de l'article traduit: Maxpower.

Matériau plus intéressant sur cisoClub.ru. Abonnez-vous à nous: Facebook | Vk | Twitter | Instagram | Télégramme | Zen | Messager | ICQ nouveau | YouTube | Impulsion.