Статикалык кодду анализдөө үчүн мыкты акысыз куралдар

Бул макалада статикалык код талдоо үчүн популярдуу куралдардын тизмеси камтылган. Окурмандар өзүлөрүнүн айырмалоочу касиеттери жана пайдалуу өзгөчөлүктөрү менен таанышышат.

Адамга статикалык кодду талдоо үчүн куралга муктаж болгондо, ал биринчи коммерциялык чечимдерди чеп же пелгегендей деп эскерет. Акысыз программалар жөнүндө эмне айтууга болот? Акы төлөнүүчү шаймандар чакан компаниялар үчүн өтө кымбат баалуу же штаттык коопсуздук боюнча адистер үчүн өтө кымбат. Ушул себептен, бул макала статикалык кодду талдоо жүргүзгөн популярдуу акысыз программалардын тизмесин чогулткан.

Brakeman.

• Анализ предмети: Ruby.
• Керектүү компоненттер: Руби жана Гем. "GEM орнотуу үчүн орнотуу" буйругун колдонуп, компоненттерди орнотуу.
• Куралды кантип колдонсо болот: "Brakeman |" Командасы_path "командасы.
• Комментарий: Бул статикалык Ruby кодун талдоо үчүн мыкты программа. Бул "Рельстер" деп аталган тиркемелерин талдоого багытталган.

NodeJsscan.

• Анализ темасы: nodejs.
• Керектүү компоненттер: курал үчүн Python гана керек.
• Куралды кантип колдонсо болот? "Python nodejsscan.py -d" буйрук.
• Комментарий: Бул сканер көптөгөн жалган позитивдерди аныктайт. Ал иштеп чыгуучулардан мезгил-мезгили менен жаңыртууларды алат.

Rips.

• Анализ: php.
• Керектүү компоненттер: курал үчүн PHP гана керек.
• Куралды кантип колдонсо болот: Rips - бул PHPде жазылган веб тиркеме. Колдонуучу Apache Httpди орнотууну жана программаны иштетиш керек.
• Комментарий: Бул сонун сканер. Ал көптөгөн мүмкүн болгон көйгөйлөрдү аныктай алат. Тилекке каршы, анын жаңы нускасы бекер эмес, андыктан сиз бул программаны колдонууну кааласаңыз, анда анын акы төлөнүүчү версиясын сатып алышы керек.

Изде.

• Анализ темасы: Java.
• Керектүү компоненттер: шайман үчүн Java Se керек.
• Куралды кантип колдонсо болот: сиз банк тиркемесин ачып, булак кодун талдоо үчүн папканы тандаңыз.
• Комментарий: Сабык - бул жалпы максаттуу сканер. Коддо ар кандай каталарды жана кемчиликтерди таба алат. Тактап айтканда, Программада колдонулган коопсуздук модулу бар, бул XSS жана SQLI кол салуу мүмкүнчүлүгү сыяктуу көйгөйлөрдү таба турган көйгөйлөргө ээ.

Microsoft FXCOP.

• Анализ темасы: .net.
• Керектүү компоненттер: сизге .НЕТ КЕРЕК.
• Куралды кантип колдонсо болот: адам арызды ачып, Exe же DLL файлдарын тандап алат.
• Комментарий: Бул жакшы сканер, ал эң начар адамдардын көпчүлүгүн байкай алат. Программа түзүлгөн файлдарды талдайт. Эгерде колдонуучу мурунтан эле код бар болсо, анда аны түзүшү керек болот.

JShint.

• Анализ темасы: JavaScript.
• Керектүү компоненттер: Сизге керек .Nodejs куралы үчүн керек. Аны орнотуу үчүн, колдонуучу КЭУБга кирет - JShint буйругун орнотот.
• Куралды кантип колдонсо болот? "JShint Applice_path" буйругу.
• Комментарий: Сканер көптөгөн каталарды аныктайт. Ал "жаман кодду" таба алат, алар көбүнчө туура эмес жумуш же жалган жооптор үчүн жооптуу (lol).

Codecrawler

• Анализ темасы: C #.
• Керектүү компоненттер: сизге .НЕТ КЕРЕК.
• Куралды кантип колдонсо болот: колдонуучу булак коду менен колдонмо папканы ачат.
• Комментарий: Сканер жалган позитивдерди аныктайт.

Yasca.

• Анализ темасы: Таза, Java, C / C ++, HTML, JavaScript, ASP, Coldfucion, PHP, КОБОЛ.
• Керектүү компоненттер: MSI куралы үчүн керек.
• Куралды кантип колдонсо болот: "yasca.exe request_path" командасы ".
• Комментарий: Бул көп тилдүү сканер. Бул көп сандагы жалган позитивдерди аныктайт жана коддо так эместикти таба алат.

Visual Code Greepper.

• Анализ темасы: C ++, C #, vb, PHP, Java жана PL / SQL.
• Керектүү компоненттер: MSI куралы үчүн керек.
• Куралды кантип колдонсо болот: колдонуучу арызды ачып берет жана баштапкы кодду тандайт.
• Комментарий: Бул көп тилдүү сканер. Ал көптөгөн жалган позитивдерди таба алат, бирок ошол эле YASCAдан аз.

Graudit (бир гана Linux)

• Анализ предмети: ASP, JSP, PRL, PHP, Python.
• Керектүү компоненттер: Керек эмес - Колдонуучу колдонмону жүктөйт жана сканерлейт.
• Куралды кантип колдонсо болот: Graudit Application_path буйругу.
• Комментарий: Бул сканер туруктуу сөз айкаштарына негизделген маалымат базасын колдонот. Анын эң чоң артыкчылыгы, өтүнмө бажы көйгөйлөрүн издөө үчүн оңой конфигурацияланат. Учурдагы демейки маалыматтар базасын колдонуп, колдонуучу көптөгөн жалган позитивдерди аныктайт, бирок айрым реалдуу көйгөйлөр ар дайым эле байкала бербейт.

Code Warrior (Linux)

• Анализ предмети: с, C #, PHP, Java, Ruby, ASP, JavaScript.
• Керектүү компоненттер: Колдонуучу программаны жүктөп алат жана кодду түзөт.
• Куралды кантип колдонсо болот: адам арызды ачат жана баштапкы кодду тандайт.
• Комментарий: БУЛ СКАННЕР - Веб тиркеме болуп саналат. Бирок, колдонуучу APACHE кереги жок, сканерди иштетүү үчүн жетиштүү, ал эми браузер автоматтык түрдө ачылат. Андан кийин адам булак кодун тандайт. Программа көптөгөн көйгөйлөрдү жана жалган позитивдерди аныктай алат.

Которулган макаланын автору: МаксПонер.

CISOCLUB.RU боюнча кызыктуу материал. Бизге жазылыңыз: Facebook | ВКонтакт | Twitter | Инстаграм | Телеграм | Zen | Messenger | ICQ NEW | Youtube | Pulse.