Vyombo vya juu vya bure kwa uchambuzi wa msimbo wa static.

Makala hii itakuwa na orodha ya zana maarufu kwa uchambuzi wa msimbo wa static. Wasomaji watafahamu mali zao za kutofautisha na vipengele muhimu.

Wakati mtu anahitaji chombo cha uchambuzi wa kificho cha static, anakumbuka kwanza ufumbuzi wa kibiashara kama kuimarisha au Veracode. Nini kuhusu mipango ya bure? Vifaa vya kulipwa ni ghali sana kwa makampuni madogo au wataalamu wa usalama wa kujitegemea. Kwa sababu hii, makala hii ilikusanyika orodha ya programu maarufu za bure zinazofanya uchambuzi wa msimbo wa static.

Brakeman.

• Somo la Uchambuzi: Ruby.
• Vipengele vinavyohitajika: Ruby na Gem. Kuweka vipengele kwa kutumia amri ya "Gem Kufunga Brakeman".
• Jinsi ya kutumia chombo: Timu "Brakeman maombi_path".
• Maoni: Hii ndiyo mpango bora wa uchambuzi wa msimbo wa ruby. Inalenga uchambuzi wa kinachojulikana kama "kwenye reli" maombi.

Nodejsscan.

• Somo la Uchambuzi: Nodejs.
• Vipengele vinavyohitajika: Python tu inahitajika kwa chombo.
• Jinsi ya kutumia chombo: "Python Nodejsscan.py -d" amri.
• Maoni: Scanner hii inafafanua vyema vingi vya uwongo. Inapata sasisho mara kwa mara kutoka kwa watengenezaji.

Rips.

• Uchambuzi: PHP.
• Vipengele vinavyohitajika: PHP tu inahitajika kwa chombo.
• Jinsi ya kutumia chombo: Rips ni programu ya wavuti iliyoandikwa katika PHP. Mtumiaji anahitaji kufunga Apache http na kukimbia programu.
• Maoni: Hii ni scanner ya ajabu. Anaweza kuchunguza matatizo mengi iwezekanavyo. Kwa bahati mbaya, toleo lake jipya sio bure, hivyo ikiwa unataka kutumia programu hii, mtu atakuwa na kununua toleo lake la kulipwa.

Findbugs.

• Somo la Uchambuzi: Java.
• Vipengele vinavyohitajika: Java S inahitajika kwa chombo.
• Jinsi ya kutumia chombo: Unahitaji kufungua programu ya jar na uchague folda kwa kuchunguza msimbo wa chanzo.
• Maoni: FindBugs ni scanner ya jumla ya kusudi. Ina uwezo wa kuchunguza makosa tofauti na mapungufu katika msimbo. Hasa, mpango huo una moduli ya usalama iliyojengwa, ambayo inaweza kupata matatizo yanayohusiana na hatari, kama vile uwezekano wa mashambulizi ya XSS na SQLI.

Microsoft FXCOP.

• Somo la Uchambuzi: .NET.
• Vipengele vinavyohitajika: Unahitaji chombo cha .net.
• Jinsi ya kutumia chombo: Mtu hufungua programu na huchagua faili za EXE au DLL.
• Maoni: Hii ni scanner nzuri, anaweza kuchunguza udhaifu mkubwa. Mpango huo utachambua faili zilizoandaliwa. Ikiwa mtumiaji tayari ana kanuni, atahitaji kuifanya.

Jshint.

• Somo la Uchambuzi: JavaScript.
• Vipengele vinavyohitajika: Unahitaji .nodejs kwa chombo. Ili kuiweka, mtumiaji huingia kwenye Amri ya NPM -G ya Jshint.
• Jinsi ya kutumia chombo: "amri ya jshint maombi_path".
• Maoni: Scanner hutambua makosa mengi. Anaweza kupata "msimbo mbaya", ambayo mara nyingi huwajibika kwa kazi mbaya au majibu ya uongo (lol).

CodeCrawler.

• Somo la Uchambuzi: C #.
• Vipengele vinavyohitajika: Unahitaji chombo cha .net.
• Jinsi ya kutumia chombo: Mtumiaji hufungua folda ya maombi na msimbo wa chanzo.
• Maoni: Scanner hutambua mengi ya positi ya uongo.

Yasca.

• Somo la Uchambuzi: Net, Java, C / C ++, HTML, JavaScript, ASP, ColdFUCION, PHP, COBOL.
• Vipengele vinavyohitajika: MSI inahitajika kwa chombo.
• Jinsi ya kutumia chombo: Timu "Yasca.exe maombi_path".
• Maoni: Hii ni scanner mbalimbali. Inatambua idadi kubwa ya vyema vya uongo, na pia inaweza kupata usahihi katika msimbo.

Msimbo wa Visual Grepper.

• Somo la Uchambuzi: C ++, C #, VB, PHP, Java na PL / SQL.
• Vipengele vinavyohitajika: MSI inahitajika kwa chombo.
• Jinsi ya kutumia chombo: Mtumiaji hufungua programu na kuchagua msimbo wa chanzo.
• Maoni: Hii ni scanner mbalimbali. Anaweza kuchunguza mengi ya positi ya uongo, lakini chini ya Yasca sawa.

Graudit (Linux tu)

• Somo la Uchambuzi: ASP, JSP, PERL, PHP, Python.
• Vipengele vinavyohitajika: hakuna kitu kinachohitajika - mtumiaji anapakua programu na kuanza skanning.
• Jinsi ya kutumia chombo: amri ya maombi ya graudit_path.
• Maoni: Scanner hii inatumia database kulingana na maneno ya kawaida. Faida yake kubwa ni kwamba maombi yanaweza kusanidiwa kwa urahisi kutafuta matatizo ya desturi. Kutumia database iliyopo ya default, mtumiaji hutambua chanya nyingi za uongo, ingawa baadhi ya matatizo halisi hayawezi kuonekana daima.

Msimbo wa Kanuni (Linux tu)

• Somo la Uchambuzi: C, C #, PHP, Java, Ruby, ASP, JavaScript.
• Vipengele vinavyohitajika: mtumiaji anapakua programu na kukusanya msimbo.
• Jinsi ya kutumia chombo: Mtu hufungua programu na kuchagua msimbo wa chanzo.
• Maoni: Kama Rips, Scanner hii ni programu ya wavuti. Hata hivyo, mtumiaji hawana haja ya Apache, ni ya kutosha kuendesha scanner yenyewe, na kivinjari kitafungua moja kwa moja. Kisha mtu huchagua msimbo wa chanzo. Mpango huo una uwezo wa kuchunguza matatizo mengi na vyema vya uongo.

Mwandishi wa makala iliyotafsiriwa: Maxpower.

Vifaa vya kuvutia zaidi kwenye cisoclub.ru. Kujiunga na sisi: Facebook | Vk | Twitter | Instagram | Telegram | Zen | Mtume | ICQ Mpya | YouTube | Pulse.