代码安全审计工具

免费版本

0×01 PHP代码审计

1、RIPS

https://sourceforge.net/projects/rips-scanner/

0×02 Java代码审计

findbugs 代码安全:findsecuritybugs FindSecurityBugs是Java静态分析工具FindBugs的插件

http://findbugs.sourceforge.net/downloads.html https://www.jianshu.com/p/c43940c4e025

https://find-sec-bugs.github.io/

https://wiki.jenkins.io/display/JENKINS/FindBugs Plugin

0×03 其他语言代码审计

1 .net https://security-code-scan.github.io/

2.C++:

代码质量:cppcheck

代码安全: flawfinder https://sourceforge.net/projects/flawfinder/

http://www.doc88.com/p-669125880049.html

https://sourceforge.net/p/flawfinder/feature-requests/4/ xml格式支持

3.JS:

代码质量:eslint

代码安全:https://github.com/ajinabraham/NodeJsScan

https://blog.csdn.net/yalishandalee/article/details/61916454

https://github.com/nodesecurity/eslint-plugin-security#rules

4.Go:

代码质量:golint、go tool vet

代码安全:gas https://github.com/GoASTScanner/gas

5.Python:

代码质量:pylint

代码安全:bandit,py-find-injection,pyt https://wiki.openstack.org/wiki/Security/Projects/Bandit

https://github.com/openstack/bandit

https://github.com/uber/py-find-injection

https://github.com/bit4woo/python_sec https://github.com/python-security/pyt

6.多种语言的安全代码检查工具:sonar https://docs.sonarqube.org/display/SONAR

https://www.sonarsource.com/products/codeanalyzers/sonarjava/rules.html#Vulnerability_Detection

https://github.com/SonarSource/sonarqub

7.ruby https://github.com/thesp0nge/dawnscanner

https://github.com/presidentbeef/brakeman

多种语言

https://github.com/WhaleShark-Team/cobra

正则查找漏洞工具:https://grepbugs.com/

商业化

0x01 商业代码审计工具

静态分析的工具RISP,VCG,Fortify SCA。

动态工具有360的sky wolf。

原文地址:https://www.cnblogs.com/17bdw/p/11359726.html

时间: 2024-10-10 02:45:08

代码安全审计工具的相关文章

Java静态代码分析工具Infer

Java静态代码分析工具Infer 作者:chszs,转载需注明.博客主页:http://blog.csdn.net/chszs 一.Infer介绍 Infer是Facebook最新开源的静态程序分析工具,用于在发布移动应用之前对代码进行分析,找出潜在的问题.目前Facebook使用此工具分析Facebook的App,包括Android.iOS.Facebook Messenger和Instagram等. Facebook称该工具帮助其每个月检查出应用潜在的数百个Bug,例如一些空指针访问.资源

代码管理工具 --- git的学习笔记四《重新整理git(1)》

1.创建版本库 mkdir  创建目录 cd  地址,到该地址下 pwd 显示当前目录 1.创建目录 $ mkdir startGit $ cd startGit $ pwd 显示当前目录 或者cd到桌面,然后再创建目录 2.初始化版本库 $ git init 初始化仓库 提示信息:Initialized empty Git repository in /Users/xingzai/Desktop/startGit/.git/ 建立一个空的git仓库在/Users/xingzai/Desktop

静态代码检查工具 cppcheck 的使用(可分别集成到VS和QT Creator里)

CppCheck是一个C/C++代码缺陷静态检查工具.不同于C/C++编译器及其它分析工具,CppCheck只检查编译器检查不出来的bug,不检查语法错误.所谓静态代码检查就是使用一个工具检查我们写的代码是否安全和健壮,是否有隐藏的问题. 比如无意间写了这样的代码: [cpp] view plain copy int n = 10; char* buffer = new char[n]; buffer[n] = 0; 这完全是符合语法规范的,但是静态代码检查工具会提示此处会溢出.也就是说,它是一

常用 Java 静态代码分析工具的分析与比较

转载自: http://www.oschina.net/question/129540_23043 简介: 本文首先介绍了静态代码分析的基本概念及主要技术,随后分别介绍了现有 4 种主流 Java 静态代码分析工具 (Checkstyle,FindBugs,PMD,Jtest),最后从功能.特性等方面对它们进行分析和比较,希望能够帮助 Java 软件开发人员了解静态代码分析工具,并选择合适的工具应用到软件开发中. 引言 在 Java 软件开发过程中,开发团队往往要花费大量的时间和精力发现并修改代

代码检查工具jshint和csslint

前面的话 Douglas Crockford大神根据自己的理念用JavaScript写了一个JavaScript代码规范检查工具,这就是JSLint.后来非常流行,也的确帮助了广大的JavaScript程序员.但是,大神对于自己的代码规范不做丝毫的妥协,对开源社区的反馈的回应也不礼貌.于是,JSLint从一个帮助程序员规范代码,避免Bug的工具,变成了一个让代码像Crockford的工具.在最不信神的IT界,这当然不能忍了 2011年,一个叫Anton Kovalyov的前端程序员借助开源社区的

微信公众号开发【技术基础】(四):SVN代码版本管理工具的使用

SVN是一种代码版本管理工具,具有可视化的操作界面,使用简便,和git的功能类似.下面总结一下SVN的基本用法: 1.安装SVN软件,和安装一般的软件的步骤差不多,这里使用的版本是TortoiseSVN_1.9.5.27581_x64 百度网盘下载地址:https://pan.baidu.com/s/1boFNHk7 2.安装完成之后,电脑右键菜单中就会出现SVN的菜单选项: 注:如果没有出现SVN的右键菜单,那么再重新执行一下安装包,并选择"修复模式"安装即可. 3.拉远程代码库中的

代码统计量工具

Java GUI编写的统计代码量小工具,输入工程路径名即可统计,支持Java.C++.C. 源码及可执行文件见:https://github.com/openluopworld/CodeLineCounter. 1 package com.luop.codelines; 2 3 import java.awt.BorderLayout; 4 import java.awt.Font; 5 import java.awt.GridLayout; 6 import java.awt.event.Ac

Source Insight 中使用 AStyle 代码格式工具

Source Insight 中使用 AStyle 代码格式工具 彭会锋 2015-05-19 23:26:32     Source Insight是较好的代码阅读和编辑工具,不过source insight没有集成代码格式化工具:GNU的astyle是一个较好的免费的代码格式化工具,经过它的格式化之后,代码排版会变得很漂亮:Astyle主要作为插件供其他程序调用,具体的使用方法如下: 1 astyle下载地址: http://sourceforge.net/projects/astyle/

Duang~Duang~Duang 还在使用jsfiddle和jsbin做在线前端代码展示和演示吗? 试试更强大的在线代码分享工具吧!

传统的代码分享工具JSbin和JSfilddle jsfiddle和jsbin可能是前端开发中最早最常用的代码“把玩”工具,拥有大量的粉丝和用户,作为前端开发攻城师来说,我个人过去也常常使用. 不过作为国外的服务和产品,加载速度非常不理解,经常半天加载不上,如下图: 而且最重要的在于大量的CDN引用JS/CSS来自于Google CDN,大家也明白,天朝不再给Google发VISA啦,所有的Google域名下的服务或者文件都无法正常访问.除非你FQ!使用非常不流畅滴说!,如下图: 轻视频代码分享