Top Mjete të lira për analizën e kodit statik

Ky artikull do të përmbajë një listë të mjeteve popullore për analizën e kodit statik. Lexuesit do të njihen me pronat e tyre dalluese dhe karakteristikat e dobishme.

Kur një person ka nevojë për një mjet për analizën e kodit statik, ai së pari i kujton zgjidhje të tilla komerciale si fortify ose veracode. Po në lidhje me programet e lira? Mjetet e paguara janë shumë të shtrenjta për kompanitë e vogla ose specialistët e sigurisë së pavarur. Për këtë arsye, ky artikull u mblodh një listë të programeve popullore të lirë që kryejnë një analizë të kodit statik.

Brakeman.

• Analiza Subjekti: Ruby.
• Komponentët e kërkuar: rubin dhe perlë. Instalimi i komponentëve duke përdorur komandën "Gem Install BraKeman".
• Si të përdorni mjetin: Ekipi "BraKeman Application_Path".
• Koment: Ky është programi më i mirë për analizën statike të kodit rubin. Ajo është e fokusuar në analizën e aplikacioneve të ashtuquajtura "në binarët".

Nodyjsscan.

• Analiza Subjekti: NodeJs.
• Komponentët e kërkuar: Vetëm Python është e nevojshme për mjetin.
• Si të përdorni mjetin: Komanda "Python NodeJsscan.py -D".
• Koment: Ky skaner përcakton shumë positives false. Merr përditësime periodike nga zhvilluesit.

Shqyej.

• Analiza: PHP.
• Komponentët e kërkuar: Vetëm PHP është e nevojshme për mjetin.
• Si të përdorni mjetin: RIPS është një aplikim i internetit i shkruar në PHP. Përdoruesi duhet të instalojë Apache HTTP dhe të drejtojë programin.
• Koment: Ky është një skaner i mrekullueshëm. Ai është në gjendje të zbulojë shumë probleme të mundshme. Për fat të keq, versioni i tij i ri nuk është i lirë, kështu që nëse dëshironi të përdorni këtë program, një person do të duhet të blejë versionin e paguar.

Gindobs.

• Analiza subjekt: Java.
• Komponentët e kërkuar: Java SE është e nevojshme për mjetin.
• Si të përdorni mjetin: Ju duhet të hapni aplikacionin e JAR dhe zgjidhni dosjen për analizimin e kodit burimor.
• Koment: FindBugs është një skaner qëllim i përgjithshëm. Është në gjendje të zbulojë gabime dhe mangësi të ndryshme në kodin. Në veçanti, programi ka një modul të integruar të sigurisë, i cili mund të gjejë probleme që lidhen me cenueshmërinë, siç është mundësia e sulmeve XSS dhe SQLI.

Microsoft FXCOP.

• Analiza subjekt: .NET.
• Komponentët e kërkuar: Ju duhet .NET Tool.
• Si të përdorni një mjet: një person hap aplikacionin dhe përzgjedh skedarët exe ose DLL.
• Koment: Ky është një skaner i mirë, ai është në gjendje të zbulojë më shumë dobësitë. Programi do të analizojë skedarët e përpiluar. Nëse përdoruesi tashmë ka një kod, ai do të duhet të përpilojë atë.

Jshint.

• Analiza subjekt: Javascript.
• Komponentët e kërkuar: Ju duhet .nodejs për mjetin. Për ta instaluar atë, përdoruesi hyn në komandën e instalimit të NPM-së.
• Si të përdorni një mjet: komanda "jshint applation_path".
• Koment: Skaneri zbulon shumë gabime. Ai është në gjendje të gjejë një "kod të keq", i cili shpesh është përgjegjës për punën e gabuar ose përgjigjet e rreme (lol).

Codecrawler

• Subjekti i analizës: C #.
• Komponentët e kërkuar: Ju duhet .NET Tool.
• Si të përdorni mjet: Përdoruesi hap dosjen e aplikimit me kodin burimor.
• Koment: Skaneri zbulon shumë pozitive të rreme.

Yasca.

• Analiza Subjekti: Net, Java, C / C ++, HTML, JavaScript, ASP, ColdFucion, PHP, COBOL.
• Komponentët e kërkuar: MSI është e nevojshme për mjetin.
• Si të përdorni mjetin: Ekipi "Yasca.exe Application_Path".
• Koment: Ky është një skaner shumëgjuhësh. Ai zbulon një numër të madh pozitivësh të rremë, dhe gjithashtu është në gjendje të gjejë pasaktësi në kodin.

Kodi vizual Grepper.

• Analiza subjekt: C ++, C #, VB, PHP, Java dhe PL / SQL.
• Komponentët e kërkuar: MSI është e nevojshme për mjetin.
• Si të përdorni mjet: Përdoruesi hap aplikacionin dhe zgjedh kodin burimor.
• Koment: Ky është një skaner shumëgjuhësh. Ai është në gjendje të zbulojë shumë positivë të rremë, por më pak se Yasca e njëjtë.

Gradite (vetëm Linux)

• Analiza Subjekti: ASP, JSP, Perl, PHP, Python.
• Komponentët e kërkuar: Asgjë e nevojshme - përdoruesi shkarkon aplikacionin dhe fillon skanimin.
• Si të përdorni mjetin: Komanda Graute Application_Path.
• Koment: Ky skaner përdor një bazë të dhënash bazuar në shprehje të rregullta. Avantazhi i saj më i madh është se aplikacioni mund të konfigurohet lehtësisht për të kërkuar probleme me porosi. Duke përdorur një bazë të dhënash ekzistuese të parazgjedhur, përdoruesi zbulon shumë positives false, edhe pse disa probleme reale nuk mund të zbulohen gjithmonë.

Code Warrior (vetëm Linux)

• Analiza Subjekti: C, C #, PHP, Java, Ruby, ASP, JavaScript.
• Komponentët e kërkuar: Përdoruesi shkarkon programin dhe përpilon kodin.
• Si të përdorni një mjet: Një person hap aplikacionin dhe zgjedh kodin burimor.
• Koment: Ashtu si rips, ky skaner është një aplikim në internet. Megjithatë, përdoruesi nuk ka nevojë për Apache, është e mjaftueshme për të drejtuar vetë skanerin, dhe shfletuesi do të hapet automatikisht. Pastaj personi zgjedh kodin burimor. Programi është në gjendje të zbulojë shumë probleme dhe pozitive të rreme.

Autori i artikullit të përkthyer: Maxpower.

Materiale më interesante në Cisoclub.ru. Regjistrohu për ne: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Messenger | ICQ New | YouTube | Impuls.