स्थैतिक कोड विश्लेषण के लिए शीर्ष मुक्त उपकरण

इस आलेख में स्थैतिक कोड विश्लेषण के लिए लोकप्रिय उपकरणों की एक सूची होगी। पाठक अपनी विशिष्ट गुणों और उपयोगी सुविधाओं से परिचित हो जाएंगे।

जब किसी व्यक्ति को स्थैतिक कोड विश्लेषण के लिए एक उपकरण की आवश्यकता होती है, तो वह पहले इस तरह के वाणिज्यिक समाधानों को मजबूत या वेराकोड के रूप में याद करता है। मुफ्त कार्यक्रमों के बारे में क्या? भुगतान उपकरण छोटी कंपनियों या फ्रीलांस सुरक्षा विशेषज्ञों के लिए बहुत महंगा हैं। इस कारण से, इस लेख को एक स्थिर कोड विश्लेषण करने वाले लोकप्रिय मुक्त कार्यक्रमों की एक सूची दी गई थी।

ब्रेकमैन

• विश्लेषण विषय: रूबी।
• आवश्यक घटक: रूबी और मणि। "मणि इंस्टॉल ब्रैकमैन" कमांड का उपयोग करके घटकों को स्थापित करना।
• टूल का उपयोग कैसे करें: टीम "ब्रेकमैन एप्लिकेशन_पैथ"।
• टिप्पणी: स्थिर रूबी कोड विश्लेषण के लिए यह सबसे अच्छा कार्यक्रम है। यह तथाकथित "रेल" अनुप्रयोगों के विश्लेषण पर केंद्रित है।

Nodejsscan।

• विश्लेषण विषय: नोडेज।
• आवश्यक घटक: उपकरण के लिए केवल पायथन की आवश्यकता होती है।
• टूल का उपयोग कैसे करें: "पायथन nodejsscan.py -d" कमांड।
• टिप्पणी: यह स्कैनर कई झूठी सकारात्मक परिभाषित करता है। यह डेवलपर्स से आवधिक अपडेट प्राप्त करता है।

Rips।

• विश्लेषण: PHP।
• आवश्यक घटक: उपकरण के लिए केवल PHP की आवश्यकता होती है।
• टूल का उपयोग कैसे करें: आरआईपीएस एक वेब एप्लिकेशन है जो PHP में लिखा गया है। उपयोगकर्ता को अपाचे HTTP स्थापित करने और प्रोग्राम चलाने की आवश्यकता है।
• टिप्पणी: यह एक अद्भुत स्कैनर है। वह कई संभावित समस्याओं का पता लगाने में सक्षम है। दुर्भाग्यवश, उसका नया संस्करण मुफ़्त नहीं है, इसलिए यदि आप इस कार्यक्रम का उपयोग करना चाहते हैं, तो किसी व्यक्ति को अपना भुगतान संस्करण खरीदना होगा।

Findbugs।

• विश्लेषण विषय: जावा।
• आवश्यक घटक: उपकरण के लिए जावा एसई की आवश्यकता है।
• टूल का उपयोग कैसे करें: आपको जार एप्लिकेशन खोलने और स्रोत कोड का विश्लेषण करने के लिए फ़ोल्डर का चयन करने की आवश्यकता है।
• टिप्पणी: Findbugs एक सामान्य उद्देश्य स्कैनर है। यह कोड में विभिन्न त्रुटियों और कमियों का पता लगाने में सक्षम है। विशेष रूप से, कार्यक्रम में एक अंतर्निहित सुरक्षा मॉड्यूल है, जो भेद्यता से जुड़ी समस्याओं को पा सकता है, जैसे कि एक्सएसएस और एसक्यूएलआई हमलों की संभावना।

Microsoft Fxcop।

• विश्लेषण विषय: .NET।
• आवश्यक घटक: आपको .NET उपकरण की आवश्यकता है।
• टूल का उपयोग कैसे करें: एक व्यक्ति एप्लिकेशन खोलता है और EXE या DLL फ़ाइलों का चयन करता है।
• टिप्पणी: यह एक अच्छा स्कैनर है, वह सबसे कमजोरियों का पता लगाने में सक्षम है। कार्यक्रम संकलित फ़ाइलों का विश्लेषण करेगा। यदि उपयोगकर्ता के पास पहले से कोई कोड है, तो उसे इसे संकलित करने की आवश्यकता होगी।

Jshint।

• विश्लेषण विषय: जावास्क्रिप्ट।
• आवश्यक घटक: आपको उपकरण के लिए .nodejs की आवश्यकता है। इसे स्थापित करने के लिए, उपयोगकर्ता एनपीएम इंस्टॉल-जी जेएसएचआईंट कमांड में प्रवेश करता है।
• एक उपकरण का उपयोग कैसे करें: "jshint application_path" कमांड।
• टिप्पणी: स्कैनर कई त्रुटियों का पता लगाता है। वह एक "खराब कोड" खोजने में सक्षम है, जो अक्सर दोषपूर्ण काम या झूठी प्रतिक्रियाओं (एलओएल) के लिए जिम्मेदार होता है।

कोडेक्रॉलर

• विश्लेषण विषय: सी #।
• आवश्यक घटक: आपको .NET उपकरण की आवश्यकता है।
• टूल का उपयोग कैसे करें: उपयोगकर्ता स्रोत कोड के साथ एप्लिकेशन फ़ोल्डर खोलता है।
• टिप्पणी: स्कैनर कई झूठी सकारात्मक पहचानता है।

यास्का।

• विश्लेषण विषय: नेट, जावा, सी / सी ++, एचटीएमएल, जावास्क्रिप्ट, एएसपी, कोल्डफ्यूकन, पीएचपी, कोबोल।
• आवश्यक घटक: उपकरण के लिए एमएसआई की आवश्यकता है।
• टूल का उपयोग कैसे करें: टीम "yasca.exe apprise_path"।
• टिप्पणी: यह एक बहुभाषी स्कैनर है। यह बड़ी संख्या में झूठी सकारात्मकताओं का पता लगाता है, और यह कोड में त्रुटियों को खोजने में भी सक्षम है।

विजुअल कोड ग्रेपर।

• विश्लेषण विषय: सी ++, सी #, वीबी, पीएचपी, जावा और पीएल / एसक्यूएल।
• आवश्यक घटक: उपकरण के लिए एमएसआई की आवश्यकता है।
• टूल का उपयोग कैसे करें: उपयोगकर्ता एप्लिकेशन खोलता है और स्रोत कोड का चयन करता है।
• टिप्पणी: यह एक बहुभाषी स्कैनर है। वह बहुत सारे झूठे सकारात्मकों का पता लगाने में सक्षम है, लेकिन एक ही यास्का से कम है।

Graudit (केवल लिनक्स)

• विश्लेषण विषय: एएसपी, जेएसपी, पर्ल, PHP, पायथन।
• आवश्यक घटक: कुछ भी आवश्यक नहीं - उपयोगकर्ता एप्लिकेशन डाउनलोड करता है और स्कैनिंग शुरू करता है।
• टूल का उपयोग कैसे करें: graudit application_path कमांड।
• टिप्पणी: यह स्कैनर नियमित अभिव्यक्तियों के आधार पर डेटाबेस का उपयोग करता है। इसका सबसे बड़ा फायदा यह है कि एप्लिकेशन को कस्टम समस्याओं की खोज के लिए आसानी से कॉन्फ़िगर किया जा सकता है। मौजूदा डिफ़ॉल्ट डेटाबेस का उपयोग करके, उपयोगकर्ता कई झूठी सकारात्मक पहचानता है, हालांकि कुछ वास्तविक समस्याओं का हमेशा पता नहीं लगाया जा सकता है।

कोड योद्धा (केवल लिनक्स)

• विश्लेषण विषय: सी, सी #, PHP, जावा, रूबी, एएसपी, जावास्क्रिप्ट।
• आवश्यक घटक: उपयोगकर्ता प्रोग्राम डाउनलोड करता है और कोड संकलित करता है।
• टूल का उपयोग कैसे करें: एक व्यक्ति एप्लिकेशन खोलता है और स्रोत कोड का चयन करता है।
• टिप्पणी: रिप्स की तरह, यह स्कैनर एक वेब एप्लिकेशन है। हालांकि, उपयोगकर्ता को अपाचे की आवश्यकता नहीं है, यह स्कैनर को चलाने के लिए पर्याप्त है, और ब्राउज़र स्वचालित रूप से खुल जाएगा। फिर व्यक्ति स्रोत कोड चुनता है। कार्यक्रम कई समस्याओं और झूठी सकारात्मकों का पता लगाने में सक्षम है।

अनुवादित लेख के लेखक: अधिकतम शक्ति।

Cisoclub.ru पर अधिक रोचक सामग्री। हमारी सदस्यता लें: फेसबुक | वीके | ट्विटर | इंस्टाग्राम | तार | जेन | मैसेंजर | आईसीक्यू नया | यूट्यूब | पल्स।