ყველაზე უფასო ინსტრუმენტები სტატიკური კოდი ანალიზი

ეს სტატია შეიცავს სტატიკური კოდექსის ანალიზის პოპულარულ ინსტრუმენტებს. მკითხველს გაეცნობიან მათ განმსაზღვრელ თვისებებს და სასარგებლო თვისებებს.

როდესაც ადამიანს სჭირდება სტატიკური კოდის ანალიზის ინსტრუმენტი, ის პირველად იხსენებს ისეთ კომერციულ გადაწყვეტილებებს, როგორც გამაგრება ან ვერაკოდს. რაც შეეხება უფასო პროგრამებს? ფასიანი ინსტრუმენტები ძალიან ძვირია მცირე კომპანიებისთვის ან თავისუფალი უსაფრთხოების სპეციალისტებისთვის. ამ მიზეზით, ეს მუხლი შეიკრიბა პოპულარული უფასო პროგრამების ჩამონათვალი, რომელიც ასრულებს სტატიკურ კოდექსს.

Brakeman.

• ანალიზის თემა: Ruby.
• საჭირო კომპონენტები: Ruby და Gem. კომპონენტების ინსტალაცია "Gem Install Brakeman" ბრძანების გამოყენებით.
• როგორ გამოვიყენოთ ინსტრუმენტი: გუნდი "Brakeman Appitication_path".
• კომენტარი: ეს არის საუკეთესო პროგრამა სტატიკური Ruby Code ანალიზი. იგი ორიენტირებულია ე.წ. "რელსების" აპლიკაციების ანალიზზე.

Nodejsscan.

• ანალიზის თემა: Nodejs.
• საჭირო კომპონენტები: მხოლოდ Python საჭიროა ინსტრუმენტი.
• როგორ გამოვიყენოთ ინსტრუმენტი: "Python Nodejsscan.py -d" ბრძანება.
• კომენტარი: ეს სკანერი განსაზღვრავს ბევრ ცრუ პოზიტს. იგი იღებს პერიოდულ განახლებებს დეველოპერებს.

Rips.

• ანალიზი: PHP.
• საჭირო კომპონენტები: მხოლოდ PHP საჭიროა ინსტრუმენტი.
• როგორ გამოვიყენოთ ინსტრუმენტი: Rips არის ვებ განაცხადის დაწერილი PHP. მომხმარებელს უნდა დააყენოს Apache HTTP და აწარმოებს პროგრამას.
• კომენტარი: ეს მშვენიერი სკანერია. მას შეუძლია ბევრი შესაძლო პრობლემის გამოვლენა. სამწუხაროდ, მისი ახალი ვერსია არ არის თავისუფალი, ასე რომ, თუ გსურთ გამოიყენოთ ეს პროგრამა, პირი უნდა შეიძინოს მისი გადახდილი ვერსია.

Findbugs.

• ანალიზის თემა: ჯავა.
• საჭირო კომპონენტები: Java SE საჭიროა ინსტრუმენტი.
• როგორ გამოვიყენოთ ინსტრუმენტი: თქვენ უნდა გახსენით JAR აპლიკაცია და აირჩიეთ საქაღალდე კოდის ანალიზისთვის.
• კომენტარი: Findbugs არის ზოგადი დანიშნულების სკანერი. მას შეუძლია კოდექსში სხვადასხვა შეცდომებისა და ხარვეზების გამოვლენა. კერძოდ, პროგრამას აქვს ინტეგრირებული უსაფრთხოების მოდული, რომელსაც შეუძლია დაუცველ პრობლემებთან დაკავშირებული პრობლემები, როგორიცაა XSS და SQLI თავდასხმების შესაძლებლობა.

Microsoft FXCOP.

• ანალიზის თემა:.
• საჭირო კომპონენტები: თქვენ გჭირდებათ. NET Tool.
• როგორ გამოვიყენოთ ინსტრუმენტი: პირი ხსნის აპლიკაციას და ირჩევს EXE ან DLL ფაილებს.
• კომენტარი: ეს არის კარგი სკანერი, მას შეუძლია აღმოაჩინოს ყველაზე მოწყვლადობა. პროგრამა შედგენილი ფაილების ანალიზს. თუ მომხმარებელს უკვე აქვს კოდი, მას უნდა შეადგინოს იგი.

Jshint.

• ანალიზის თემა: JavaScript.
• საჭირო კომპონენტები: თქვენ გჭირდებათ. დააინსტალიროთ, მომხმარებელი შემოდის NPM- ის ინსტალაციაში.
• როგორ გამოვიყენოთ ინსტრუმენტი: "jshint application_path" ბრძანება.
• კომენტარი: სკანერი ბევრ შეცდომას აღმოაჩენს. მას შეუძლია იპოვოს "ცუდი კოდი", რომელიც ხშირად პასუხისმგებელია გაუმართავი სამუშაოს ან ყალბი რეაგირებისათვის (LOL).

Codecrawler

• ანალიზის თემა: C #.
• საჭირო კომპონენტები: თქვენ გჭირდებათ. NET Tool.
• როგორ გამოვიყენოთ ინსტრუმენტი: მომხმარებელი ხსნის აპლიკაციის საქაღალდე წყაროს კოდით.
• კომენტარი: სკანერი აღმოაჩენს ბევრ ცრუ პოზიციებს.

Yasca.

• ანალიზის თემა: Net, Java, C / C ++, HTML, Javascript, ASP, Coldfucion, PHP, COBOL.
• საჭირო კომპონენტები: MSI საჭიროა ინსტრუმენტი.
• როგორ გამოვიყენოთ ინსტრუმენტი: გუნდი "Yasca.exe apply_path".
• კომენტარი: ეს არის მრავალენოვანი სკანერი. ეს აღმოაჩენს დიდი რაოდენობით ცრუ დადებითი და ასევე შეუძლია იპოვოს უზუსტობები კოდექსში.

ვიზუალური კოდი grepper.

• ანალიზის თემა: C ++, C #, VB, PHP, Java და PL / SQL.
• საჭირო კომპონენტები: MSI საჭიროა ინსტრუმენტი.
• როგორ გამოვიყენოთ ინსტრუმენტი: მომხმარებელი იხსნება აპლიკაცია და ირჩევს კოდის კოდს.
• კომენტარი: ეს არის მრავალენოვანი სკანერი. მას შეუძლია აღმოაჩინოს ბევრი ცრუ პოზიტიური, მაგრამ ნაკლებია, ვიდრე იგივე YASCA.

Graudit (მხოლოდ Linux)

• ანალიზის თემა: ASP, JSP, PERL, PHP, Python.
• საჭირო კომპონენტები: არაფერი საჭიროა - მომხმარებელი ჩამოტვირთვებს განცხადებას და იწყებს სკანირებას.
• როგორ გამოვიყენოთ ინსტრუმენტი: Graudit apply_path ბრძანება.
• კომენტარი: ეს სკანერი იყენებს მონაცემთა ბაზას რეგულარული გამონათქვამების საფუძველზე. მისი ყველაზე დიდი უპირატესობა ისაა, რომ აპლიკაცია ადვილად შეიძლება კონფიგურირებული იყოს საბაჟო პრობლემების მოსაძებნად. არსებული ნაგულისხმევი მონაცემთა ბაზის გამოყენებით მომხმარებელი ბევრ ცრუ პოზიციებს აღმოაჩენს, თუმცა რეალურ პრობლემებს ყოველთვის არ უნდა გამოვლინდეს.

კოდექსის მეომარი (მხოლოდ Linux)

• ანალიზის თემა: C, C #, PHP, Java, Ruby, ASP, JavaScript.
• საჭირო კომპონენტები: მომხმარებელი ჩამოტვირთვებს პროგრამას და ადგენს კოდს.
• როგორ გამოვიყენოთ ინსტრუმენტი: პირი ხსნის აპლიკაციას და ირჩევს კოდის კოდს.
• კომენტარი: მოსწონს rips, ეს სკანერი არის ვებ აპლიკაცია. თუმცა, მომხმარებელს არ სჭირდება Apache, საკმარისია სკანერის გაშვება და ბრაუზერი ავტომატურად გაიხსნება. მაშინ ადამიანი ირჩევს კოდის კოდს. პროგრამას შეუძლია ბევრი პრობლემა და ცრუ პოზიტიური აღმოჩენა.

თარგმნილი სტატიის ავტორი: maxpower.

უფრო საინტერესო მასალა Cisoclub.ru- ზე. გამოწერა აშშ: Facebook | Vk | Twitter | Instagram | ტელეგრაფი | Zen | მესენჯერი | ICQ ახალი | YouTube | პულსი.