เครื่องมือฟรียอดนิยมสำหรับการวิเคราะห์รหัสแบบคงที่

บทความนี้จะมีรายการเครื่องมือยอดนิยมสำหรับการวิเคราะห์รหัสแบบสแตติก ผู้อ่านจะทำความคุ้นเคยกับคุณสมบัติที่แตกต่างและคุณสมบัติที่มีประโยชน์

เมื่อบุคคลต้องการเครื่องมือสำหรับการวิเคราะห์รหัสแบบสแตติกเขาจะจำโซลูชันเชิงพาณิชย์ดังกล่าวเป็น fortify หรือ veracode โปรแกรมฟรีล่ะ? เครื่องมือที่ต้องเสียค่าใช้จ่ายสูงเกินไปสำหรับ บริษัท ขนาดเล็กหรือผู้เชี่ยวชาญด้านความปลอดภัยอิสระ ด้วยเหตุนี้บทความนี้จึงประกอบรายการของโปรแกรมฟรียอดนิยมที่ทำการวิเคราะห์รหัสคงที่

Brakeman

• หัวข้อการวิเคราะห์: ทับทิม
• ส่วนประกอบที่จำเป็น: ทับทิมและอัญมณี การติดตั้งส่วนประกอบโดยใช้คำสั่ง "อัญมณีติดตั้ง Brakeman"
• วิธีใช้เครื่องมือ: ทีม "Brakeman Application_Path"
• ความคิดเห็น: นี่เป็นโปรแกรมที่ดีที่สุดสำหรับการวิเคราะห์รหัสทับทิมแบบคงที่ มันมุ่งเน้นไปที่การวิเคราะห์แอปพลิเคชัน "บนราง" ที่เรียกว่า

nodejsscan

• หัวข้อการวิเคราะห์: Nodejs
• ส่วนประกอบที่จำเป็น: มีเพียง Python เท่านั้นที่จำเป็นสำหรับเครื่องมือ
• วิธีใช้เครื่องมือ: คำสั่ง "Python Nodejsscan.py -d"
• ความคิดเห็น: สแกนเนอร์นี้กำหนดผลบวกที่ผิดพลาดมากมาย ได้รับการอัปเดตเป็นระยะจากนักพัฒนา

ฉีก

• การวิเคราะห์: PHP
• ส่วนประกอบที่จำเป็น: จำเป็นต้องใช้ PHP เท่านั้นสำหรับเครื่องมือ
• วิธีการใช้เครื่องมือ: RIPS เป็นเว็บแอปพลิเคชันที่เขียนใน PHP ผู้ใช้จำเป็นต้องติดตั้ง Apache HTTP และเรียกใช้โปรแกรม
• ความคิดเห็น: นี่เป็นสแกนเนอร์ที่ยอดเยี่ยม เขาสามารถตรวจจับปัญหาที่เป็นไปได้มากมาย น่าเสียดายที่รุ่นใหม่ของเขาไม่ฟรีดังนั้นหากคุณต้องการใช้โปรแกรมนี้บุคคลจะต้องซื้อรุ่นที่จำหน่ายได้แล้ว

findbugs

• หัวข้อการวิเคราะห์: Java
• ส่วนประกอบที่จำเป็น: จำเป็นต้องใช้ Java SE สำหรับเครื่องมือ
• วิธีการใช้เครื่องมือ: คุณต้องเปิดแอปพลิเคชัน JAR และเลือกโฟลเดอร์สำหรับการวิเคราะห์ซอร์สโค้ด
• ความคิดเห็น: FindBugs เป็นสแกนเนอร์ทั่วไป มันสามารถตรวจจับข้อผิดพลาดและข้อบกพร่องที่แตกต่างกันในรหัส โดยเฉพาะอย่างยิ่งโปรแกรมมีโมดูลความปลอดภัยในตัวซึ่งสามารถหาปัญหาที่เกี่ยวข้องกับช่องโหว่เช่นความเป็นไปได้ของการโจมตี XSS และ SQLI

Microsoft FXCOP

• เรื่องการวิเคราะห์: .NET
• ส่วนประกอบที่จำเป็น: คุณต้องการเครื่องมือ. NET
• วิธีการใช้เครื่องมือ: บุคคลเปิดแอปพลิเคชันและเลือกไฟล์ exe หรือ dll
• ความคิดเห็น: นี่เป็นสแกนเนอร์ที่ดีเขาสามารถตรวจจับช่องโหว่ส่วนใหญ่ได้ โปรแกรมจะวิเคราะห์ไฟล์ที่คอมไพล์ หากผู้ใช้มีรหัสอยู่แล้วเขาจะต้องรวบรวมมัน

jshint

• หัวข้อการวิเคราะห์: JavaScript
• ส่วนประกอบที่จำเป็น: คุณต้องการ. Nodejs สำหรับเครื่องมือ ในการติดตั้งผู้ใช้จะเข้าสู่คำสั่งการติดตั้ง NPM -G JSHINT
• วิธีการใช้เครื่องมือ: คำสั่ง "jshint application_path"
• ความคิดเห็น: สแกนเนอร์ตรวจจับข้อผิดพลาดมากมาย เขาสามารถค้นหา "รหัสที่ไม่ดี" ซึ่งมักจะรับผิดชอบงานที่ผิดพลาดหรือการตอบสนองที่ผิดพลาด (lol)

codecrawler

• เรื่องการวิเคราะห์: C #
• ส่วนประกอบที่จำเป็น: คุณต้องการเครื่องมือ. NET
• วิธีใช้เครื่องมือ: ผู้ใช้เปิดโฟลเดอร์แอปพลิเคชันด้วยซอร์สโค้ด
• ความคิดเห็น: สแกนเนอร์ตรวจจับผลบวกเท็จจำนวนมาก

yasca.

• หัวข้อการวิเคราะห์: สุทธิ, Java, C / C ++, HTML, JavaScript, ASP, Coldfucion, PHP, COBOL
• ส่วนประกอบที่จำเป็น: MSI เป็นสิ่งจำเป็นสำหรับเครื่องมือ
• วิธีใช้เครื่องมือ: ทีม "Yasca.exe Application_Path"
• ความคิดเห็น: นี่เป็นสแกนเนอร์พูดได้หลายภาษา ตรวจพบข้อดีของเท็จจำนวนมากและยังสามารถค้นหาความไม่ถูกต้องในรหัส

Grepper โค้ดภาพ

• การวิเคราะห์เรื่อง: C ++, C #, VB, PHP, Java และ PL / SQL
• ส่วนประกอบที่จำเป็น: MSI เป็นสิ่งจำเป็นสำหรับเครื่องมือ
• วิธีใช้เครื่องมือ: ผู้ใช้เปิดแอปพลิเคชันและเลือกซอร์สโค้ด
• ความคิดเห็น: นี่เป็นสแกนเนอร์พูดได้หลายภาษา เขาสามารถตรวจจับผลบวกที่ผิดพลาดจำนวนมาก แต่น้อยกว่า Yasca เดียวกัน

Graudit (Linux เท่านั้น)

• เรื่องการวิเคราะห์: ASP, JSP, Perl, PHP, Python
• ส่วนประกอบที่ต้องการ: ไม่มีอะไรที่จำเป็น - ผู้ใช้ดาวน์โหลดแอปพลิเคชันและเริ่มการสแกน
• วิธีใช้เครื่องมือ: คำสั่ง graudit application_path
• ความคิดเห็น: สแกนเนอร์นี้ใช้ฐานข้อมูลตามนิพจน์ทั่วไป ข้อได้เปรียบที่ใหญ่ที่สุดคือแอปพลิเคชันสามารถกำหนดค่าให้ค้นหาปัญหาที่กำหนดเองได้อย่างง่ายดาย การใช้ฐานข้อมูลเริ่มต้นที่มีอยู่ผู้ใช้ตรวจพบผลบวกที่ผิดพลาดจำนวนมากแม้ว่าปัญหาจริงบางอย่างจะไม่สามารถตรวจพบได้เสมอ

รหัสนักรบ (เฉพาะลินุกซ์)

• การวิเคราะห์เรื่อง: C, C #, PHP, Java, Ruby, ASP, JavaScript
• ส่วนประกอบที่จำเป็น: ผู้ใช้ดาวน์โหลดโปรแกรมและรวบรวมรหัส
• วิธีการใช้เครื่องมือ: บุคคลเปิดแอปพลิเคชันและเลือกซอร์สโค้ด
• ความคิดเห็น: เหมือนฉีกสแกนเนอร์นี้เป็นเว็บแอปพลิเคชัน อย่างไรก็ตามผู้ใช้ไม่ต้องการ Apache ก็เพียงพอที่จะเรียกใช้สแกนเนอร์เองและเบราว์เซอร์จะเปิดขึ้นโดยอัตโนมัติ จากนั้นบุคคลนั้นเลือกซอร์สโค้ด โปรแกรมสามารถตรวจจับปัญหามากมายและผลบวกที่ผิดพลาด

ผู้เขียนบทความที่แปล: MaxPower

วัสดุที่น่าสนใจมากขึ้นบน cisoclub.ru สมัครสมาชิกกับเรา: Facebook | vk | ทวิตเตอร์ | Instagram โทรเลข เซน | Messenger | ICQ ใหม่ | YouTube | ชีพจร.