本文將包含靜態代碼分析的流行工具列表。讀者將熟悉他們的區別特性和有用的功能。
當一個人需要一個用於靜態代碼分析的工具時,他首先記得這種商業解決方案作為Fortify或Veracode。免費計劃怎麼樣?對於小公司或自由安全專家來說,付費工具太昂貴了。因此,本文被組裝了執行靜態代碼分析的流行免費程序列表。
Brakeman。
- 分析主題:紅寶石。
- 所需組件:Ruby和Gem。使用“GEM安裝BRAKEMAN”命令安裝組件。
- 如何使用工具:團隊“Brakeman Application_Path”。
- 評論:這是靜態Ruby代碼分析的最佳程序。它專注於分析所謂的“軌道”應用。
- 分析主題:nodejs。
- 所需組件:工具只需要Python。
- 如何使用工具:“python nodejsscan.py -d”命令。
- 評論:此掃描儀定義許多誤報。它從開發人員收到定期更新。
- 分析:PHP。
- 所需組件:工具只需要PHP。
- 如何使用該工具:RIPS是在PHP中編寫的Web應用程序。用戶需要安裝Apache HTTP並運行程序。
- 評論:這是一個精彩的掃描儀。他能夠發現許多可能的問題。不幸的是,他的新版本不是免費的,因此如果您希望使用此程序,一個人將不得不購買其付費版本。
- 分析主題:Java。
- 所需的組件:工具需要Java SE。
- 如何使用該工具:您需要打開JAR應用程序並選擇用於分析源代碼的文件夾。
- 評論:FindBugs是一個通用掃描儀。它能夠檢測代碼中的不同錯誤和缺點。特別是,該程序具有內置安全模塊,可以找到與漏洞相關的問題,例如XSS和SQLI攻擊的可能性。
- 分析主題:.NET。
- 所需組件:您需要.NET工具。
- 如何使用工具:一個人打開應用程序並選擇exe或dll文件。
- 評論:這是一個很好的掃描儀,他能夠檢測到大多數漏洞。該程序將分析已編譯的文件。如果用戶已經有代碼,則需要編譯它。
- 分析主題:JavaScript。
- 必需的組件:您需要。工具需要nodejs。要安裝它,用戶將進入NPM install -g jshint命令。
- 如何使用工具:“jshint application_path”命令。
- 評論:掃描儀檢測到許多錯誤。他能找到一個“壞代碼”,通常負責錯誤的工作或錯誤的響應(大聲笑)。
- 分析主題:C#。
- 所需組件:您需要.NET工具。
- 如何使用工具:用戶使用源代碼打開應用程序文件夾。
- 評論:掃描儀檢測到很多誤報。
- 分析主題:NET,Java,C / C ++,HTML,JavaScript,ASP,ColdFucion,PHP,COBOL。
- 所需組件:工具需要MSI。
- 如何使用該工具:團隊“yasca.exe application_path”。
- 評論:這是一個多語言掃描儀。它檢測到大量的誤報,也能夠在代碼中找到不准確的。
- 分析主題:C ++,C#,VB,PHP,Java和PL / SQL。
- 所需組件:工具需要MSI。
- 如何使用工具:用戶打開應用程序並選擇源代碼。
- 評論:這是一個多語言掃描儀。他能夠發現很多誤報,但少於同一個yasca。
- 分析主題:ASP,JSP,Perl,PHP,Python。
- 所需組件:沒有必要的 - 用戶下載應用程序並開始掃描。
- 如何使用該工具:graudit application_path命令。
- 註釋:此掃描儀使用基於正則表達式的數據庫。其最大的優點是應用程序可以很容易地配置為搜索自定義問題。使用現有的默認數據庫,用戶可以檢測到許多誤報,儘管無法始終檢測到一些實際問題。
- 分析主題:C,C#,PHP,Java,Ruby,ASP,JavaScript。
- 所需組件:用戶下載程序並編譯代碼。
- 如何使用工具:一個人打開應用程序並選擇源代碼。
- 評論:如rips,此掃描儀是Web應用程序。但是,用戶不需要Apache,它足以運行掃描儀本身,瀏覽器將自動打開。然後該人選擇源代碼。該計劃能夠檢測到許多問題和誤報。
翻譯文章的作者:MaxPower。
Cisoclub.ru上的更有趣的材料。訂閱我們:Facebook | VK |推特| Instagram |電報|禪|信使| ICQ新| YouTube |脈衝。