Alat percuma atas untuk analisis kod statik

Artikel ini akan mengandungi senarai alat popular untuk analisis kod statik. Pembaca akan mengenali sifat-sifat yang membezakan dan ciri-ciri yang berguna.

Apabila seseorang memerlukan alat untuk analisis kod statik, dia mula-mula mengingati penyelesaian komersial seperti yang diperkuatkan atau Veracode. Bagaimana dengan program percuma? Alat berbayar terlalu mahal untuk syarikat kecil atau pakar keselamatan bebas. Atas sebab ini, artikel ini telah mengumpulkan senarai program percuma yang popular yang melakukan analisis kod statik.

Brakeman.

• Subjek Analisis: Ruby.
• Komponen yang diperlukan: Ruby dan Gem. Memasang komponen menggunakan arahan "Gem Install Brakeman".
• Bagaimana untuk menggunakan Alat: Pasukan "Brakeman Aplikasi_Path".
• Komen: Ini adalah program terbaik untuk analisis kod Ruby statik. Ia memberi tumpuan kepada analisis aplikasi yang dipanggil "on rails".

Nodejsscan.

• Subjek Analisis: Nodejs.
• Komponen yang diperlukan: Hanya Python yang diperlukan untuk alat tersebut.
• Bagaimana untuk menggunakan Alat: "Python Nodejsscan.py -D" arahan.
• Komen: Pengimbas ini mentakrifkan banyak positif palsu. Ia menerima kemas kini berkala daripada pemaju.

Rip.

• Analisis: PHP.
• Komponen yang diperlukan: hanya PHP diperlukan untuk alat tersebut.
• Cara menggunakan Alat: Rips adalah aplikasi web yang ditulis dalam PHP. Pengguna perlu memasang Apache HTTP dan menjalankan program ini.
• Komen: Ini adalah pengimbas yang indah. Dia dapat mengesan banyak masalah yang mungkin. Malangnya, versi barunya tidak bebas, jadi jika anda ingin menggunakan program ini, seseorang akan perlu membeli versi berbayarnya.

FindBugs.

• Subjek Analisis: Java.
• Komponen yang diperlukan: Java SE diperlukan untuk alat ini.
• Bagaimana untuk menggunakan Alat: Anda perlu membuka aplikasi JAR dan pilih folder untuk menganalisis kod sumber.
• Komen: FindBugs adalah pengimbas tujuan umum. Ia dapat mengesan kesilapan dan kekurangan yang berbeza dalam Kod. Khususnya, program ini mempunyai modul keselamatan terbina dalam, yang dapat mencari masalah yang berkaitan dengan kerentanan, seperti kemungkinan serangan XSS dan SQLI.

Microsoft FXCOP.

• Subjek Analisis: .Net.
• Komponen yang diperlukan: Anda memerlukan alat .NET.
• Bagaimana untuk menggunakan alat: Seseorang membuka aplikasi dan memilih fail EXE atau DLL.
• Komen: Ini adalah pengimbas yang baik, dia dapat mengesan paling kerentanan. Program ini akan menganalisis fail yang disusun. Jika pengguna sudah mempunyai kod, dia perlu menyusunnya.

Jshint.

• Subjek Analisis: JavaScript.
• Komponen yang diperlukan: anda perlukan .nodejs untuk alat itu. Untuk memasangnya, pengguna memasuki NPM memasang -G JSHINT COMMAND.
• Cara menggunakan alat: "jshint appress_path" arahan.
• Komen: Pengimbas mengesan banyak kesilapan. Dia dapat mencari "kod buruk", yang sering bertanggungjawab terhadap kerja yang rosak atau tindak balas palsu (LOL).

Codecrawler.

• Subjek Analisis: C #.
• Komponen yang diperlukan: Anda memerlukan alat .NET.
• Cara menggunakan Alat: Pengguna membuka folder aplikasi dengan kod sumber.
• Komen: Pengimbas mengesan banyak positif palsu.

Yasca.

• Subjek Analisis: Net, Java, C / C ++, HTML, JavaScript, ASP, ColdFucion, PHP, COBOL.
• Komponen yang diperlukan: MSI diperlukan untuk alat tersebut.
• Bagaimana untuk menggunakan Alat: Pasukan "Yasca.exe appress_path".
• Komen: Ini adalah pengimbas berbilang bahasa. Ia mengesan sejumlah besar positif palsu, dan juga dapat mencari ketidaktepatan dalam kod.

Kod Visual Grepper.

• Subjek Analisis: C ++, C #, VB, PHP, Java dan PL / SQL.
• Komponen yang diperlukan: MSI diperlukan untuk alat tersebut.
• Cara menggunakan Alat: Pengguna membuka aplikasi dan memilih kod sumber.
• Komen: Ini adalah pengimbas berbilang bahasa. Dia dapat mengesan banyak positif palsu, tetapi kurang daripada Yasca yang sama.

Graudit (hanya Linux)

• Subjek Analisis: ASP, JSP, Perl, PHP, Python.
• Komponen yang diperlukan: Tidak ada yang diperlukan - pengguna memuat turun aplikasi dan mula mengimbas.
• Cara menggunakan Alat: Perintah Graudit Aplikasi_Path.
• Komen: Pengimbas ini menggunakan pangkalan data berdasarkan ungkapan biasa. Kelebihan terbesarnya ialah aplikasi boleh dengan mudah dikonfigurasikan untuk mencari masalah khusus. Menggunakan pangkalan data lalai yang sedia ada, pengguna mengesan banyak positif palsu, walaupun beberapa masalah sebenar tidak dapat dikesan.

Pahlawan Kod (hanya Linux)

• Subjek Analisis: C, C #, PHP, Java, Ruby, ASP, JavaScript.
• Komponen yang diperlukan: Pengguna memuat turun program dan mengkompilasi kod tersebut.
• Cara menggunakan alat: Seseorang membuka aplikasi dan memilih kod sumber.
• Komen: Seperti Rips, pengimbas ini adalah aplikasi web. Walau bagaimanapun, pengguna tidak memerlukan Apache, sudah cukup untuk menjalankan pengimbas itu sendiri, dan penyemak imbas akan dibuka secara automatik. Kemudian orang itu memilih kod sumber. Program ini dapat mengesan banyak masalah dan positif palsu.

Penulis artikel yang diterjemahkan: Maxpower.

Bahan yang lebih menarik di Cisoclub.ru. Langgan kepada kami: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ baru | YouTube | Pulse.