Ovaj članak će sadržavati popis popularnih alata za analizu statičkog koda. Čitatelji će se upoznati s njihovim razlikovnim svojstvima i korisnim značajkama.
Kada osoba treba alat za analizu statičkog koda, on se prvo sjeća takva komercijalna rješenja kao što je utvrđivanje ili verakod. Što je s besplatnim programima? Plaćeni alati su preskupi za male tvrtke ili slobodne stručnjake za sigurnost. Iz tog razloga, ovaj članak je sastavljen popis popularnih besplatnih programa koji obavljaju statičku analizu kodova.
Brakeman.
- Analiza Subjekt: Ruby.
- Potrebne komponente: Ruby i Gem. Instaliranje komponenti pomoću naredbe "Gem Instaliranje Brakeman".
- Kako koristiti alat: tim "Brakeman aplikacija_path".
- Komentar: Ovo je najbolji program za statičku analizu rubinskih kodova. Usredotočeno je na analizu tzv. "Na tračnicama" aplikacije.
- Analiza subjekt: nodejs.
- Potrebne komponente: Samo Python je potreban za alat.
- Kako koristiti alat: "Python nodejschan.py -d" naredba.
- Komentar: Ovaj skener definira mnoge lažne pozitivne. Ona prima periodična ažuriranja od programera.
- Analiza: PHP.
- Potrebne komponente: samo php je potreban za alat.
- Kako koristiti alat: RIps je web aplikacija napisana u PHP-u. Korisnik mora instalirati Apache HTTP i pokrenuti program.
- Komentar: Ovo je prekrasan skener. On je u stanju otkriti mnoge moguće probleme. Nažalost, njegova nova verzija nije besplatna, pa ako želite koristiti ovaj program, osoba će morati kupiti svoju plaćenu verziju.
- Analiza Predmet: Java.
- Potrebne komponente: Java SE je potreban za alat.
- Kako koristiti alat: morate otvoriti aplikaciju JAR i odaberite mapu za analizu izvorni kôd.
- Komentar: FindBugs je skener opće namjene. U mogućnosti je otkriti različite pogreške i nedostatke u kodu. Konkretno, program ima ugrađeni sigurnosni modul, koji može pronaći probleme povezane s ranjivošću, kao što je mogućnost XSS i SQLI napada.
- Analiza subjekt: .net.
- Potrebne komponente: trebate .NET alat.
- Kako koristiti alat: Osoba otvara aplikaciju i odabire exe ili DLL datoteke.
- Komentar: Ovo je dobar skener, on je u stanju otkriti najviše ranjivosti. Program će analizirati kompilirane datoteke. Ako korisnik već ima kod, morat će ga sastaviti.
- Analiza subjekt: JavaScript.
- Potrebne komponente: trebate .nodejs za alat. Da biste ga instalirali, korisnik ulazi u NPM install -G JShint naredbu.
- Kako koristiti alat: "jshint aplikacija_path" naredba.
- Komentar: Skener otkriva mnoge pogreške. On je u mogućnosti pronaći "loš kod", koji je često odgovoran za neispravan rad ili lažne odgovore (lol).
- Analiza Subjekt: C #.
- Potrebne komponente: trebate .NET alat.
- Kako koristiti Alat: Korisnik otvara mapu aplikacije pomoću izvornog koda.
- Komentar: Skener otkriva mnogo lažnih pozitivnih.
- Analiza Subjekt: Net, Java, C / C ++, HTML, JavaScript, ASP, ColdFucion, PHP, Cobol.
- Potrebne komponente: MSI je potreban za alat.
- Kako koristiti alat: tim "yasca.exe aplikacija_path".
- Komentar: Ovo je višejezični skener. Otkriva veliki broj lažnih pozitivnih, a također je u mogućnosti pronaći netočnosti u kodu.
- Analiza Subjekt: C ++, C #, VB, PHP, Java i pl / sql.
- Potrebne komponente: MSI je potreban za alat.
- Kako koristiti alat: Korisnik otvara aplikaciju i odabire izvorni kod.
- Komentar: Ovo je višejezični skener. On je u stanju otkriti mnogo lažnih pozitivnih, ali manje od iste yasca.
- Analiza Subjekt: ASP, JSP, Perl, PHP, Python.
- Potrebne komponente: ništa nije potrebno - korisnik preuzima aplikaciju i pokreće skeniranje.
- Kako koristiti alat: Grudit aplikacija_path naredba.
- Komentar: Ovaj skener koristi bazu podataka na temelju regularnih izraza. Njegova najveća prednost je da se aplikacija može lako konfigurirati za traženje prilagođenih problema. Koristeći postojeću zadanu bazu podataka, korisnik otkriva mnoge lažne pozitivne, iako se neki pravi problemi ne mogu uvijek otkriti.
- Analiza Subjekt: C, C #, PHP, Java, Ruby, Asp, JavaScript.
- Potrebne komponente: Korisnik preuzima program i sastavlja kôd.
- Kako koristiti alat: Osoba otvara aplikaciju i odabire izvorni kod.
- Komentar: Kao RIPS, ovaj skener je web aplikacija. Međutim, korisnik ne treba apache, dovoljno je pokrenuti sam skener i preglednik će se automatski otvoriti. Tada osoba bira izvornu kodu. Program je u stanju otkriti mnoge probleme i lažne pozitivne.
Autor prevedenog članka: Makspower.
Zanimljiviji materijal na cisoklolub.ru. Pretplatite se na nas: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ New | Youtube | Puls.