Najlepsze bezpłatne narzędzia do analizy kodu statycznego

Ten artykuł będzie zawierał listę popularnych narzędzi do analizy kodu statycznego. Czytelnicy zapoznają się z ich właściwościami wyróżniającymi i przydatnymi funkcjami.

Gdy osoba potrzebuje narzędzia do analizy kodu statycznego, najpierw wspomina takie rozwiązania komercyjne jako fortyfikacja lub Veracode. A co z bezpłatnymi programami? Płatne narzędzia są zbyt drogie dla małych firm lub niezależnych specjalistów bezpieczeństwa. Z tego powodu ten artykuł został zmontowany listę popularnych bezpłatnych programów, które wykonują analizę kodu statycznego.

Brakeman.

• Przedmiot analizy: Ruby.
• Wymagane składniki: Ruby i Gem. Instalowanie komponentów za pomocą polecenia "Gem Install Brakeman".
• Jak korzystać z narzędzia: zespół "Brakeman Application_Path".
• Komentarz: Jest to najlepszy program analizy statycznej kodu ruby. Koncentruje się na analizie tzw. Aplikacji "On Rails".

Nodejsscan.

• Przedmiot analizy: Nodejs.
• Wymagane składniki: Do narzędzia potrzebne jest tylko python.
• Jak korzystać z narzędzia: polecenie "Python nodejsscan.py -d".
• Komentarz: Ten skaner określa wiele fałszywych pozytywów. Otrzymuje okresowe aktualizacje deweloperów.

Rips.

• Analiza: PHP.
• Wymagane elementy: Do narzędzia potrzebne jest tylko PHP.
• Jak korzystać z narzędzia: Rips to aplikacja internetowa napisana w PHP. Użytkownik musi zainstalować Apache HTTP i uruchomić program.
• Komentarz: To wspaniały skaner. Potrafi wykryć wiele możliwych problemów. Niestety, jego nowa wersja nie jest bezpłatna, więc jeśli chcesz korzystać z tego programu, osoba będzie musiała kupić swoją płatną wersję.

Finetbugs.

• Przedmiot analizy: Java.
• Wymagane elementy: Java SE jest potrzebne do narzędzia.
• Jak korzystać z narzędzia: musisz otworzyć aplikację JAR i wybierz folder do analizy kodu źródłowego.
• Komentarz: Findbugs to skaner ogólnego przeznaczenia. Jest w stanie wykryć różne błędy i niedociągnięcia w kodzie. W szczególności program ma wbudowany moduł bezpieczeństwa, który może znaleźć problemy związane z luką, taką jak możliwość XSS i ataków SQLI.

Microsoft FXCOP.

• Przedmiot analizy: .net.
• Wymagane komponenty: Potrzebujesz narzędzia .NET.
• Jak korzystać z narzędzia: Osoba otwiera aplikację i wybiera pliki EXE lub DLL.
• Komentarz: To dobry skaner, jest w stanie wykryć większość luk. Program analizuje skompilowane pliki. Jeśli użytkownik ma już kod, będzie musiał go skompilować.

Jshint.

• Przedmiot analizy: JavaScript.
• Wymagane komponenty: Potrzebujesz .Nodejs dla narzędzia. Aby go zainstalować, użytkownik wprowadza komendę NPM Install -g Jshint.
• Jak korzystać z narzędzia: polecenie "jshint Application_path".
• Komentarz: Skaner wykrywa wiele błędów. Jest w stanie znaleźć "zły kod", który jest często odpowiedzialny za wadliwą pracę lub fałszywe odpowiedzi (lol).

CodeCawler.

• Przedmiot analizy: C #.
• Wymagane komponenty: Potrzebujesz narzędzia .NET.
• Jak używać narzędzia: Użytkownik otwiera folder aplikacji za pomocą kodu źródłowego.
• Komentarz: Skaner wykrywa wiele fałszywych pozytywów.

Yasca.

• Przedmiot analizy: Net, Java, C / C ++, HTML, JavaScript, ASP, Coldfucion, PHP, COBOL.
• Wymagane elementy: MSI jest potrzebne do narzędzia.
• Jak korzystać z narzędzia: zespół "Yasca.exe Application_Path".
• Komentarz: Jest to wielojęzyczny skaner. Wykrywa dużą liczbę fałszywych pozytywów i jest również w stanie znaleźć nieścisłości w kodzie.

Kod wizualny Grepper.

• Przedmiot analizy: C ++, C #, VB, PHP, JAVA i PL / SQL.
• Wymagane elementy: MSI jest potrzebne do narzędzia.
• Jak używać narzędzia: Użytkownik otwiera aplikację i wybiera kod źródłowy.
• Komentarz: Jest to wielojęzyczny skaner. Potrafi wykryć wiele fałszywych pozytywów, ale mniej niż ta sama Yasca.

Graudit (tylko Linux)

• Przedmiot analizy: ASP, JSP, Perl, PHP, Python.
• Wymagane komponenty: Nic nie jest potrzebne - użytkownik pobiera aplikację i zaczyna skanowanie.
• Jak korzystać z narzędzia: polecenie Graudit Application_Path.
• Komentarz: Ten skaner używa bazy danych na podstawie wyrażeń regularnych. Jego największą zaletą jest to, że aplikacja może być łatwo skonfigurowana do wyszukiwania problemów niestandardowych. Korzystając z istniejącej domyślnej bazy danych, użytkownik wykrywa wiele fałszywych pozytywów, chociaż nie zawsze można wykryć prawdziwe problemy.

Kod wojownik (tylko Linux)

• Przedmiot analizy: C, C #, PHP, Java, Ruby, ASP, JavaScript.
• Wymagane komponenty: użytkownik pobiera program i kompiluje kod.
• Jak korzystać z narzędzia: osoba otwiera aplikację i wybiera kod źródłowy.
• Komentarz: Jak Ripsy, ten skaner jest aplikacją internetową. Jednak użytkownik nie potrzebuje apache, wystarczy uruchomić sam skaner, a przeglądarka zostanie automatycznie otwarta. Wtedy osoba wybiera kod źródłowy. Program jest w stanie wykryć wiele problemów i fałszywych pozytywów.

Autor przetłumaczonego artykułu: Maxpower.

Bardziej interesujący materiał na cisoclub.ru. Subskrybuj nam: Facebook | Vk |. Twitter |. Instagram |. Telegram |. Zen |. Messenger |. ICQ Nowy |. YouTube |. Puls.