Topmentes eszközök statikus kódelemzéshez

Ez a cikk tartalmazza a statikus kódelemzés népszerű eszközeit. Az olvasók megismerkednek megkülönböztető tulajdonságokkal és hasznos funkciókkal.

Ha egy személynek szüksége van egy szerszámra a statikus kódelemzéshez, először emlékszik ilyen kereskedelmi megoldásokat erőfeszítésként vagy veracódként. Mi van az ingyenes programokkal? A fizetett eszközök túl drágák a kisvállalkozásoknak vagy szabadúszó biztonsági szakembereknek. Emiatt ezt a cikket összeszerelték a népszerű ingyenes programok listájára, amelyek statikus kódelemzést végeznek.

Brakeman.

• Elemzés Tárgy: Ruby.
• Szükséges alkatrészek: Ruby és Gem. Összetevők telepítése a "Gem Install Brakeman" parancs segítségével.
• Az eszköz használata: Team "Brakeman Application_Path".
• Megjegyzés: Ez a legjobb program a statikus Ruby kódelemzéshez. Az úgynevezett "Rails" alkalmazások elemzésére összpontosul.

Nodejsscan.

• Elemzés Tárgy: Nodejs.
• Szükséges alkatrészek: Csak Python szükséges a szerszámhoz.
• A szerszám használata: "Python nodejsscan.py -d" parancs.
• Megjegyzés: Ez a szkenner sok hamis pozitívumot határoz meg. Időszakos frissítéseket kap a fejlesztőktől.

RIPS.

• Elemzés: PHP.
• Szükséges alkatrészek: Csak a PHP szükséges a szerszámhoz.
• A szerszám használata: RIPS egy PHP-ben írt webes alkalmazás. A felhasználónak az Apache HTTP-t kell telepítenie, és futtatnia kell a programot.
• Megjegyzés: Ez egy csodálatos szkenner. Számos lehetséges problémát észlel. Sajnos az új verziója nem ingyenes, ezért ha ezt a programot szeretné használni, akkor egy személynek meg kell vásárolnia fizetett verzióját.

Találatok.

• Elemzés Tárgy: Java.
• Szükséges alkatrészek: Java SE szükséges a szerszámhoz.
• A szerszám használata: Meg kell nyitnia a JAR alkalmazást, és válassza ki a forráskód elemzéséhez szükséges mappát.
• Megjegyzés: A FindBugs egy általános célú szkenner. Képes észlelni a különböző hibákat és hiányosságokat a kódban. Különösen a program beépített biztonsági modullal rendelkezik, amely problémákat okozhat a sebezhetőséggel, például az XSS és az SQLI támadások lehetőségével.

Microsoft FXCOP.

• Elemzés Tárgy: .NET.
• Szükséges összetevők: szüksége van .NET eszköz.
• Szerszám használata: Egy személy megnyitja az alkalmazást, és kiválasztja az exe vagy a dll fájlokat.
• Megjegyzés: Ez egy jó szkenner, képes észlelni a legtöbb sebezhetőséget. A program elemzi a fájlokat. Ha a felhasználónak már van kódja, össze kell fordítania.

Jsint.

• Elemzés Tárgy: JavaScript.
• Szükséges összetevők: szükséged van .Nodejs a szerszámra. A telepítéshez a felhasználó belép az NPM telepítés -g jsint parancsra.
• A szerszám használata: "Jsint Application_Path" parancs.
• Megjegyzés: A szkenner sok hibát észlel. Képes megtalálni a "rossz kódot", amely gyakran felelős a hibás munkákért vagy a hamis válaszokért (lol).

Codecrawler

• Elemzés Tárgy: C #.
• Szükséges összetevők: szüksége van .NET eszköz.
• A felhasználó használata: A felhasználó megnyitja az alkalmazásmappát a forráskóddal.
• Megjegyzés: A szkenner sok hamis pozitívumot észlel.

Yasca.

• Elemzés Tárgy: Net, Java, C / C ++, HTML, JavaScript, Asp, ColdFucion, PHP, COBOL.
• Szükséges alkatrészek: MSI szükséges az eszközhöz.
• A szerszám használata: Team "Yasca.exe Application_Path".
• Megjegyzés: Ez egy többnyelvű szkenner. Számos hamis pozitívumot észlel, és a kódban pontatlanságokat is találhat.

Vizuális kód GRERPPER.

• Elemzés Tárgy: C ++, C #, VB, PHP, Java és PL / SQL.
• Szükséges alkatrészek: MSI szükséges az eszközhöz.
• A szerszám használata: A felhasználó megnyitja az alkalmazást, és kiválasztja a forráskódot.
• Megjegyzés: Ez egy többnyelvű szkenner. Sok hamis pozitívumot észlel, de kevesebb, mint a Yasca.

Graudit (csak Linux)

• Elemzés Tárgy: Asp, JSP, Perl, PHP, Python.
• Szükséges alkatrészek: Semmi szükséges - A felhasználó letölti az alkalmazást, és elindítja a szkennelést.
• A szerszám használata: A Graudit Application_Path parancs.
• Megjegyzés: Ez a szkenner rendszeres kifejezéseken alapuló adatbázist használ. A legnagyobb előnye, hogy az alkalmazás könnyen konfigurálható az egyéni problémák kereséséhez. Egy meglévő alapértelmezett adatbázis használatával a felhasználó számos hamis pozitívumot észlel, bár bizonyos valódi problémákat nem lehet mindig észlelni.

Code Warrior (csak Linux)

• Elemzés Tárgy: C, C #, PHP, Java, Ruby, Asp, JavaScript.
• Szükséges összetevők: A felhasználó letölti a programot, és összeállítja a kódot.
• Szerszám használata: Egy személy megnyitja az alkalmazást, és kiválasztja a forráskódot.
• Megjegyzés: Mint Rips, ez a szkenner webes alkalmazás. Azonban a felhasználónak nincs szüksége Apache, elegendő a szkenner futtatása, és a böngésző automatikusan megnyílik. Ezután a személy választja a forráskódot. A program képes sok problémát és hamis pozitív észlelni.

A lefordított cikk szerzője: Maxpower.

További érdekes anyag a Cisoclub.ru-n. Feliratkozás ránk: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ új | YouTube | Impulzus.