TOP-vrije hulpmiddelen voor statische codeanalyse

Dit artikel bevat een lijst met populaire hulpmiddelen voor statische codeanalyse. Lezers zullen kennis maken met hun onderscheidende eigenschappen en nuttige functies.

Wanneer een persoon een hulpmiddel nodig heeft voor statische codeanalyse, herinnert hij zich eerst dergelijke commerciële oplossingen als Fortify of Veracode. Hoe zit het met gratis programma's? Betaalde gereedschappen zijn te duur voor kleine bedrijven of freelance veiligheidspecialisten. Om deze reden was dit artikel een lijst samen met populaire gratis programma's die een statische codeanalyse uitvoeren.

Brakeman.

• Analyse Onderwerp: Ruby.
• Vereiste componenten: Ruby en Gem. Componenten installeren met behulp van de opdracht "Gem Installeer Brakeman".
• Hoe gebruik ik de tool: Team "Brakeman Application_Path".
• Commentaar: dit is het beste programma voor statische robijncodeanalyse. Het is gericht op de analyse van de zogenaamde "op rails" -toepassingen.

NODEJSSCAN.

• Analyse Onderwerp: NODEJS.
• Vereiste componenten: alleen Python is nodig voor het gereedschap.
• Hoe gebruik ik het gereedschap: "Python NODEJSSCAN.PY -D" -opdracht.
• Commentaar: Deze scanner definieert veel valse positieven. Het ontvangt periodieke updates van ontwikkelaars.

Scheurt.

• Analyse: PHP.
• Vereiste componenten: alleen PHP is nodig voor het gereedschap.
• Hoe het gereedschap te gebruiken: Rips is een webtoepassing geschreven in PHP. De gebruiker moet Apache HTTP installeren en het programma uitvoeren.
• Commentaar: dit is een geweldige scanner. Hij is in staat om veel mogelijke problemen te detecteren. Helaas is zijn nieuwe versie niet gratis, dus als u dit programma wilt gebruiken, moet een persoon zijn betaalde versie kopen.

Findbugs.

• Analyse Onderwerp: Java.
• Vereiste componenten: Java SE is nodig voor het gereedschap.
• Hoe gebruik ik het gereedschap: u moet de JAR-toepassing openen en de map selecteren voor het analyseren van de broncode.
• Commentaar: Findbugs is een scanner voor algemene doeleinden. Het is in staat om verschillende fouten en tekortkomingen in de code te detecteren. In het bijzonder heeft het programma een ingebouwde beveiligingsmodule, die problemen kan vinden die verband houden met kwetsbaarheid, zoals de mogelijkheid van XSS en SQLI-aanvallen.

Microsoft FXCOP.

• Analyse Onderwerp: .net.
• Vereiste componenten: u hebt .NET-tool nodig.
• Hoe een hulpmiddel te gebruiken: een persoon opent de toepassing en selecteert de exe- of dll-bestanden.
• Commentaar: dit is een goede scanner, hij is in staat om de meeste kwetsbaarheden te detecteren. Het programma analyseert gecompileerde bestanden. Als de gebruiker al een code heeft, moet hij het compileren.

JShint.

• Analyse Onderwerp: JavaScript.
• Vereiste componenten: u hebt .nodejs voor het gereedschap nodig. Om het te installeren, gaat de gebruiker de NPM Install -G JSHINT-opdracht binnen.
• Hoe een hulpmiddel te gebruiken: "JSHINT APPARATIE_PATH" -opdracht.
• Commentaar: de scanner detecteert veel fouten. Hij is in staat om een ​​"slechte code" te vinden, die vaak verantwoordelijk is voor defect werk of valse reacties (lol).

Codecrawler

• Analyse Onderwerp: C #.
• Vereiste componenten: u hebt .NET-tool nodig.
• Hoe te gebruiken Tool: de gebruiker opent de applicatiemap met de broncode.
• OPMERKING: De scanner detecteert veel valse positieven.

Yasca.

• Analyse Onderwerp: Net, Java, C / C ++, HTML, JavaScript, ASP, Coldfucion, PHP, COBOL.
• Vereiste componenten: MSI is nodig voor het gereedschap.
• Hoe de tool te gebruiken: team "yasca.exe application_path".
• Commentaar: dit is een meertalige scanner. Het detecteert een groot aantal valse positieven en is ook in staat om onnauwkeurigheden in de code te vinden.

Visuele code grepper.

• Analyse Onderwerp: C ++, C #, VB, PHP, JAVA en PL / SQL.
• Vereiste componenten: MSI is nodig voor het gereedschap.
• Tool gebruiken: de gebruiker opent de toepassing en selecteert de broncode.
• Commentaar: dit is een meertalige scanner. Hij is in staat om veel valse positieven te detecteren, maar minder dan dezelfde Yasca.

Graudit (alleen Linux)

• Analyse Onderwerp: ASP, JSP, PERL, PHP, Python.
• Vereiste componenten: niets nodig - de gebruiker downloadt de applicatie en begint met scannen.
• Hoe gebruik ik het gereedschap: de Graudit-applicatie_path-opdracht.
• Commentaar: Deze scanner maakt gebruik van een database op basis van reguliere uitdrukkingen. Het grootste voordeel is dat de toepassing gemakkelijk kan worden geconfigureerd om te zoeken naar aangepaste problemen. Met behulp van een bestaande standaarddatabase detecteert de gebruiker veel valse positieven, hoewel sommige echte problemen niet altijd kunnen worden gedetecteerd.

Code Warrior (alleen Linux)

• Analyse Onderwerp: C, C #, PHP, Java, Ruby, ASP, JavaScript.
• Vereiste componenten: de gebruiker downloadt het programma en stelt de code samen.
• Hoe een hulpmiddel te gebruiken: een persoon opent de toepassing en selecteert de broncode.
• Commentaar: Like Rips, deze scanner is een webtoepassing. De gebruiker heeft echter geen Apache nodig, het is genoeg om de scanner zelf uit te voeren en de browser wordt automatisch geopend. Dan kiest de persoon de broncode. Het programma kan veel problemen en valse positieven detecteren.

De auteur van het vertaalde artikel: MaxPower.

Meer interessant materiaal op cisoclub.ru. Abonneer u op ons: Facebook | VK | Twitter | Instagram | Telegram | Zen | Messenger | ICQ NIEUW | YouTube | Puls.