本文将包含静态代码分析的流行工具列表。读者将熟悉他们的区别特性和有用的功能。
当一个人需要一个用于静态代码分析的工具时,他首先记得这种商业解决方案作为Fortify或Veracode。免费计划怎么样?对于小公司或自由安全专家来说,付费工具太昂贵了。因此,本文被组装了执行静态代码分析的流行免费程序列表。
Brakeman。
- 分析主题:红宝石。
- 所需组件:Ruby和Gem。使用“GEM安装BRAKEMAN”命令安装组件。
- 如何使用工具:团队“Brakeman Application_Path”。
- 评论:这是静态Ruby代码分析的最佳程序。它专注于分析所谓的“轨道”应用。
- 分析主题:nodejs。
- 所需组件:工具只需要Python。
- 如何使用工具:“python nodejsscan.py -d”命令。
- 评论:此扫描仪定义许多误报。它从开发人员收到定期更新。
- 分析:PHP。
- 所需组件:工具只需要PHP。
- 如何使用该工具:RIPS是在PHP中编写的Web应用程序。用户需要安装Apache HTTP并运行程序。
- 评论:这是一个精彩的扫描仪。他能够发现许多可能的问题。不幸的是,他的新版本不是免费的,因此如果您希望使用此程序,一个人将不得不购买其付费版本。
- 分析主题:Java。
- 所需的组件:工具需要Java SE。
- 如何使用该工具:您需要打开JAR应用程序并选择用于分析源代码的文件夹。
- 评论:FindBugs是一个通用扫描仪。它能够检测代码中的不同错误和缺点。特别是,该程序具有内置安全模块,可以找到与漏洞相关的问题,例如XSS和SQLI攻击的可能性。
- 分析主题:.NET。
- 所需组件:您需要.NET工具。
- 如何使用工具:一个人打开应用程序并选择exe或dll文件。
- 评论:这是一个很好的扫描仪,他能够检测到大多数漏洞。该程序将分析已编译的文件。如果用户已经有代码,则需要编译它。
- 分析主题:JavaScript。
- 必需的组件:您需要。工具需要nodejs。要安装它,用户将进入NPM install -g jshint命令。
- 如何使用工具:“jshint application_path”命令。
- 注释:扫描仪检测到许多错误。他能找到一个“坏代码”,通常负责错误的工作或错误的响应(大声笑)。
- 分析主题:C#。
- 所需组件:您需要.NET工具。
- 如何使用工具:用户使用源代码打开应用程序文件夹。
- 评论:扫描仪检测到很多误报。
- 分析主题:NET,Java,C / C ++,HTML,JavaScript,ASP,ColdFucion,PHP,COBOL。
- 所需组件:工具需要MSI。
- 如何使用该工具:团队“yasca.exe application_path”。
- 评论:这是一个多语言扫描仪。它检测到大量的误报,也能够在代码中找到不准确的。
- 分析主题:C ++,C#,VB,PHP,Java和PL / SQL。
- 所需组件:工具需要MSI。
- 如何使用工具:用户打开应用程序并选择源代码。
- 评论:这是一个多语言扫描仪。他能够发现很多误报,但少于同一个yasca。
- 分析主题:ASP,JSP,Perl,PHP,Python。
- 所需组件:没有必要的 - 用户下载应用程序并开始扫描。
- 如何使用该工具:graudit application_path命令。
- 注释:此扫描仪使用基于正则表达式的数据库。其最大的优点是应用程序可以很容易地配置为搜索自定义问题。使用现有的默认数据库,用户可以检测到许多误报,尽管无法始终检测到一些实际问题。
- 分析主题:C,C#,PHP,Java,Ruby,ASP,JavaScript。
- 所需组件:用户下载程序并编译代码。
- 如何使用工具:一个人打开应用程序并选择源代码。
- 评论:如rips,此扫描仪是Web应用程序。但是,用户不需要Apache,它足以运行扫描仪本身,浏览器将自动打开。然后该人选择源代码。该计划能够检测到许多问题和误报。
翻译文章的作者:MaxPower。
Cisoclub.ru上的更有趣的材料。订阅我们:Facebook | VK |推特| Instagram |电报|禅|信使| ICQ新| YouTube |脉冲。