Alat Gratis Terbaik untuk Analisis Kode Statis

Artikel ini akan berisi daftar alat populer untuk analisis kode statis. Pembaca akan berkenalan dengan properti yang membedakan dan fitur yang berguna.

Ketika seseorang membutuhkan alat untuk analisis kode statis, ia pertama kali ingat solusi komersial tersebut sebagai fortify atau veracode. Bagaimana dengan program gratis? Alat berbayar terlalu mahal untuk perusahaan kecil atau spesialis keamanan freelance. Untuk alasan ini, artikel ini dirakit daftar program gratis populer yang melakukan analisis kode statis.

Tukang rem.

• Subjek analisis: Ruby.
• Komponen yang diperlukan: Ruby dan Gem. Menginstal komponen menggunakan perintah "GEM install Brakeman".
• Cara menggunakan alat: Tim "Brakeman Application_Path".
• Komentar: Ini adalah program terbaik untuk analisis kode Ruby statis. Ini difokuskan pada analisis aplikasi "on rails" yang disebut.

Nodejsscan.

• Subjek analisis: nodejs.
• Komponen yang diperlukan: Hanya Python yang dibutuhkan untuk alat ini.
• Cara menggunakan alat: perintah "python nodejsscan.py -d".
• Komentar: Pemindai ini mendefinisikan banyak positif palsu. Ini menerima pembaruan berkala dari pengembang.

Robekan.

• Analisis: PHP.
• Komponen yang diperlukan: Hanya PHP yang dibutuhkan untuk alat ini.
• Cara menggunakan alat: RIPS adalah aplikasi web yang ditulis dalam PHP. Pengguna perlu menginstal Apache HTTP dan menjalankan program.
• Komentar: Ini adalah pemindai yang luar biasa. Dia mampu mendeteksi banyak masalah yang mungkin. Sayangnya, versi barunya tidak gratis, jadi jika Anda ingin menggunakan program ini, seseorang harus membeli versi berbayar.

Findbugs.

• Subjek analisis: Java.
• Komponen yang diperlukan: Java SE diperlukan untuk alat ini.
• Cara menggunakan alat ini: Anda perlu membuka aplikasi JAR dan memilih folder untuk menganalisis kode sumber.
• Komentar: FindBugs adalah pemindai tujuan umum. Ini mampu mendeteksi kesalahan dan kekurangan yang berbeda dalam kode. Secara khusus, program ini memiliki modul keamanan bawaan, yang dapat menemukan masalah yang terkait dengan kerentanan, seperti kemungkinan serangan XSS dan SQLI.

Microsoft FXCOP.

• Subjek analisis: .NET.
• Komponen yang diperlukan: Anda perlu alat .NET.
• Cara menggunakan alat: Seseorang membuka aplikasi dan memilih file EXE atau DLL.
• Komentar: Ini adalah pemindai yang baik, ia mampu mendeteksi sebagian besar kerentanan. Program ini akan menganalisis file yang dikompilasi. Jika pengguna sudah memiliki kode, dia perlu mengkompilasinya.

Jshint.

• Analisis Subjek: Javascript.
• Komponen yang diperlukan: Anda perlu .Nodejs untuk alat. Untuk menginstalnya, pengguna memasuki NPM menginstal -g perintah jshint.
• Cara menggunakan alat: Perintah "JSHINT Application_Path".
• Komentar: Pemindai mendeteksi banyak kesalahan. Dia dapat menemukan "kode buruk", yang sering bertanggung jawab atas kerja yang salah atau tanggapan palsu (lol).

Codecrawler.

• Subjek analisis: C #.
• Komponen yang diperlukan: Anda perlu alat .NET.
• Cara Menggunakan Alat: Pengguna membuka folder aplikasi dengan kode sumber.
• Komentar: Pemindai mendeteksi banyak positif palsu.

YASCA.

• Subjek analisis: NET, JAWA, C / C ++, HTML, Javascript, ASP, ColdFucion, PHP, COBOL.
• Komponen yang diperlukan: MSI diperlukan untuk alat ini.
• Cara menggunakan alat: Tim "YASCA.EXE Application_Path".
• Komentar: Ini adalah pemindai multibahasa. Ini mendeteksi sejumlah besar positif palsu, dan juga dapat menemukan ketidakakuratan dalam kode.

Kode visual grepper.

• Subjek analisis: C ++, C #, VB, PHP, Java dan PL / SQL.
• Komponen yang diperlukan: MSI diperlukan untuk alat ini.
• Cara menggunakan alat: Pengguna membuka aplikasi dan memilih kode sumber.
• Komentar: Ini adalah pemindai multibahasa. Dia mampu mendeteksi banyak positif palsu, tetapi kurang dari yasca yang sama.

Greaudit (hanya Linux)

• Subjek analisis: ASP, JSP, Perl, PHP, Python.
• Komponen yang Diperlukan: Tidak perlu - pengguna mengunduh aplikasi dan memulai pemindaian.
• Cara menggunakan alat: Perintah Greaudit Application_Path.
• Komentar: Pemindai ini menggunakan basis data berdasarkan ekspresi reguler. Keuntungan terbesarnya adalah aplikasi dapat dengan mudah dikonfigurasi untuk mencari masalah khusus. Menggunakan basis data default yang ada, pengguna mendeteksi banyak positif palsu, meskipun beberapa masalah nyata tidak selalu dapat dideteksi.

Kode Warrior (hanya Linux)

• Subjek analisis: C, C #, PHP, Java, Ruby, ASP, JavaScript.
• Komponen yang diperlukan: Pengguna mengunduh program dan mengkompilasi kode.
• Cara menggunakan alat: Seseorang membuka aplikasi dan memilih kode sumber.
• Komentar: Seperti robekan, pemindai ini adalah aplikasi web. Namun, pengguna tidak memerlukan Apache, cukup untuk menjalankan pemindai itu sendiri, dan browser akan secara otomatis terbuka. Kemudian orang tersebut memilih kode sumber. Program ini mampu mendeteksi banyak masalah dan positif palsu.

Penulis artikel yang diterjemahkan: MaxPower.

Bahan yang lebih menarik di cisoclub.ru. Berlangganan AS: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ Baru | YouTube | Nadi.