למעלה כלים חינם עבור ניתוח קוד סטטי

מאמר זה יכיל רשימה של כלים פופולריים לניתוח קוד סטטי. הקוראים יקבלו היכרות עם המאפיינים שלהם הבחנה ותכונות שימושיות.

כאשר אדם צריך כלי ניתוח קוד סטטי, הוא הראשון זוכר פתרונות מסחריים כגון לחזק או veracode. מה עם תוכניות חינם? כלים בתשלום הם יקרים מדי עבור חברות קטנות או מומחי אבטחה עצמאי. מסיבה זו, מאמר זה היה להרכיב רשימה של תוכניות חינם פופולרי המבצעות ניתוח קוד סטטי.

ברקמן.

• ניתוח נושא: רובי.
• רכיבים נדרשים: רובי וגם. התקנת רכיבים באמצעות הפקודה "פנינה להתקין בראקמן".
• כיצד להשתמש בכלי: צוות "Brakeman application_path".
• הערה: זוהי התוכנית הטובה ביותר עבור ניתוח קוד אודם סטטי. הוא מתמקד בניתוח של מה שנקרא "על מסילות" יישומים.

Nodejsscan.

• ניתוח נושא: nodejs.
• רכיבים נדרשים: רק Python נדרש עבור הכלי.
• כיצד להשתמש בכלי: "python nodejsscan.py -d" הפקודה.
• הערה: סורק זה מגדיר תוצאות חיוביות שווא רבות. הוא מקבל עדכונים תקופתיים ממפתחים.

קורע.

• ניתוח: PHP.
• רכיבים נדרשים: רק PHP נדרש עבור הכלי.
• כיצד להשתמש בכלי: RIPS הוא יישום אינטרנט שנכתב ב- PHP. המשתמש צריך להתקין את Apache HTTP ולהפעיל את התוכנית.
• הערה: זהו סורק נפלא. הוא מסוגל לזהות בעיות רבות אפשריות. למרבה הצער, הגרסה החדשה שלו לא בחינם, אז אם אתה רוצה להשתמש בתוכנית זו, אדם יצטרך לרכוש את הגירסה בתשלום שלה.

Findbugs.

• ניתוח נושא: Java.
• רכיבים נדרשים: Java SE נדרשת עבור הכלי.
• כיצד להשתמש בכלי: עליך לפתוח את היישום JAR ובחר את התיקיה לניתוח קוד המקור.
• הערה: findbugs הוא סורק כללי מטרה. הוא מסוגל לזהות שגיאות שונות וחסרונות בקוד. בפרט, התוכנית יש מודול אבטחה מובנה, אשר יכול למצוא בעיות הקשורות לפגיעות, כגון האפשרות של XSS ו SQLI התקפות.

מיקרוסופט FXCOP.

• ניתוח נושא: .NET.
• רכיבים נדרשים: אתה צריך כלי.
• כיצד להשתמש בכלי: אדם פותח את היישום ובוחר את קבצי EXE או DLL.
• הערה: זהו סורק טוב, הוא מסוגל לזהות את הפגיעויות ביותר. התוכנית תנתח קבצים הידור. אם למשתמש כבר יש קוד, הוא יצטרך לקמפל אותו.

Jshint.

• ניתוח נושא: JavaScript.
• רכיבים נדרשים: אתה צריך .Nodejs עבור הכלי. כדי להתקין אותו, המשתמש מזין את הפקודה NPM להתקין -G JSHINT.
• כיצד להשתמש בכלי: "JShint Application_path" הפקודה.
• הערה: הסורק מזהה שגיאות רבות. הוא מסוגל למצוא "קוד רע", אשר לעתים קרובות אחראי על עבודה פגומה או תגובות שווא (LOL).

Codecrewler

• ניתוח נושא: C #.
• רכיבים נדרשים: אתה צריך כלי.
• כיצד להשתמש בכלי: המשתמש פותח את תיקיית היישום עם קוד המקור.
• הערה: הסורק מזהה הרבה חיוביות שווא.

YASCA.

• ניתוח נושא: נטו, Java, C / C + +, HTML, JavaScript, ASP, ColdFucion, PHP, COBOL.
• רכיבים נדרשים: MSI נדרשת עבור הכלי.
• כיצד להשתמש בכלי: צוות "yasca.exe application_path".
• הערה: זהו סורק רב לשוני. הוא מזהה מספר רב של תוצאות חיוביות שווא, והוא גם מסוגל למצוא אי דיוקים בקוד.

קוד חזותי.

• ניתוח נושא: C + +, C #, VB, PHP, Java ו PL / SQL.
• רכיבים נדרשים: MSI נדרשת עבור הכלי.
• כיצד להשתמש בכלי: המשתמש פותח את היישום ובוחר את קוד המקור.
• הערה: זהו סורק רב לשוני. הוא מסוגל לזהות הרבה חיוביות שווא, אבל פחות מאותה yasca.

GRAUDIT (רק לינוקס)

• ניתוח נושא: ASP, JSP, Perl, PHP, Python.
• רכיבים נדרשים: שום דבר לא צריך - המשתמש מוריד את היישום ומתחיל לסרוק.
• כיצד להשתמש בכלי: הפקודה GRAUDIT Application_path.
• הערה: סורק זה משתמש במסד נתונים המבוסס על ביטויים רגולריים. היתרון הגדול ביותר שלה הוא כי היישום יכול להיות מוגדר בקלות לחפש בעיות מותאמות אישית. באמצעות מסד נתונים ברירת מחדל קיים, המשתמש מזהה תוצאות חיוביות רבות, אם כי כמה בעיות אמיתיות לא תמיד יכול להיות מזוהה.

קוד לוחם (רק לינוקס)

• ניתוח נושא: C, C #, PHP, Java, רובי, ASP, JavaScript.
• רכיבים נדרשים: המשתמש מוריד את התוכנית ומחדשת את הקוד.
• כיצד להשתמש בכלי: אדם פותח את היישום ובוחר את קוד המקור.
• הערה: כמו RIPS, סורק זה הוא יישום אינטרנט. עם זאת, המשתמש אינו זקוק ל- Apache, זה מספיק כדי להפעיל את הסורק עצמו, והדפדפן ייפתח באופן אוטומטי. אז האדם בוחר את קוד המקור. התוכנית מסוגלת לזהות בעיות רבות וחייבות שווא.

המחבר של המאמר המתורגם: MaxPower.

חומר מעניין יותר על cisoclub.ru. הירשם אלינו: פייסבוק | VK | טוויטר Instagram | מברק זן שליח ICQ חדש YouTube | דוֹפֶק.