想做一个整合开源安全代码扫描工具的代码安全分析平台

最新推荐文章于 2024-06-27 17:49:38 发布
最新推荐文章于 2024-06-27 17:49:38 发布
阅读量8.5k 收藏 2
点赞数
分类专栏: 开源测试工具 测试工具 安全性测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/testing_is_believing/article/details/21319269
版权

想做一个整合开源安全代码扫描工具的代码安全分析平台,之前研究的主要是Java方向的工具,如:

Find Security Bugs
http://automationqa.com/forum.php?mod=viewthread&tid=2803&fromuid=29

 

最近看的主要是PHP方向的工具:

RIPS
http://rips-scanner.sourceforge.net/
需要研究如何获取结果并转换,因为RIPS是基于网页输出结果的


PHP Security Audit Tool
http://sourceforge.net/projects/phpsecaudit/
使用方法:
C:\PHP Security Test\AUT\dvwa>PHP "C:\PHP Security Test\Tools\phpsecaudit\run.ph
p" --src .
发现不了太多问题!


PHP Security Scanner
http://sourceforge.net/projects/securityscanner/
使用方法
C:\PHPnow\htdocs\securityscanner\bin>php security_scan.php "C:\PHP Security Test
\AUT\dvwa" test1
生成的结果插入MySQL数据库
主要是通过查找关键字的方式定位问题,能找到的问题比较有限,大部分局限在危险函数使用上


SWAAT
https://www.owasp.org/index.php/Category:OWASP_SWAAT_Project
SWAAT was designed for the NET Framework 1.1.4322 or lower
可能是运行环境的问题,下载后运行不成功!


RATS
https://code.google.com/p/rough-auditing-tool-for-security/
This is RATS, a rough auditing tool for security, originally developed by Secure Software Inc. It is a tool for scanning C, C++, Perl, PHP, Python (and soon Ruby) source code and flagging common security related programming errors such as buffer overflows and TOCTOU (Time Of Check, Time Of Use) race conditions.
要build RATS 以来C语言版本的XML解析器Expat:
http://expat.sourceforge.net/


Yasca
http://sourceforge.net/projects/yasca/
整合了:
JLint(Java)
antiC(C/C++、JAVA)
Lint4J(Java)
PMD(Java、JSP)
FindBugs(Java、Jar)
Grep
可扩展插件(PHP、GREP、PMD)


Pixy
http://www.lengmo.net/read.php?486
https://security.web.cern.ch/security/recommendations/en/codetools/pixy.shtml


/PHP-sat
http://www.program-transformation.org/PHP/PhpSatDocumentation
貌似不容易下载安装

 


其他
-------------------------------
PHP Anti-Virus
http://sourceforge.net/projects/phpantivirus/
Scans your web server's file system for dangerous and malicious code in public HTML, PHP, CGI and text files, usually caused by defacement or security holes in shared hosting accounts.
并不针对代码安全漏洞,而是检查是否感染病毒、恶意代码等


在线PHP代码扫描工具
http://evuln.com/tools/php-security/


《PMD Applied》
http://www.pmdapplied.com/

 


小结
-------------------------------
针对PHP源代码安全扫描的开源工具不多,RIPS是相对好的一个,其他的很多只是简单查找危险函数关键字

TIB
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java扫描仪源码-Java-Source-Code-Scanner:Java源代码扫描
05-22
java扫描仪源码 Java-Source-Code-Scanner This is just identified version of Javaid. Ref :
如何选择应用程序安全扫描工具
02-17
- 提供商是否为测试的软件提供了一个独立的安全分析? 3. **非开发人员使用的用户界面** - 非开发人员(如安全或审计专家)使用该解决方案时会采用何种用户界面和机制? 4. **版本更新周期** - 提供商多久...
开源代码安全扫描工具_开源与COVID-19,Google用Python编写的新安全工具以及更多开源新闻作斗争...
cumo3681的博客
07-15 255
开源代码安全扫描工具 在本版开源新闻摘要中,我们将介绍COVID-19的开源解决方案,Google的新安全工具,Uber的代码清理软件等等! 在对抗COVID-19中使用开源 当COVID-19开始在全球范围内行进时,开放源代码加紧努力试图阻止它。 其中包括使用开放数据来创建跟踪仪表板和应用 ,设计通风机以及开发防护装备。 加拿大滑铁卢大学的科学家与人工智能公司DarwinAI合作...
Packer-Fuzzer一款好用的前端高效安全扫描工具
最新发布
06-27 1060
Packer Fuzzer是一款针对Webpack等前端打包工具所构造的网站进行快速、高效安全检测的扫描工具
开源代码安全扫描工具_使用开源工具向网络安全过渡的简单介绍
weixin_26636643的博客
09-27 1352
开源代码安全扫描工具It’s February 2020 and already I have seen multiple articles predicting the massive doomsday heading our way due to the lack of people in information security. Are some of it scaremongering?...
好用的Java代码检测工具分享
qf2019的博客
11-16 922
阿里在2017年10月份的云栖大会上发布了基于java开发手册的java扫描插件,主要功能是扫描出java代码潜在的代码隐患,提升代码质量!将不符合规约的代码显示出来,还实现了一键bug修复的功能,支持idea和eclipse。 1.插件安装点击settings---->plugins---->Browse repositories 搜索框中输入alibaba 选择 Alibaba Java Coding Guidelines,点击 右边的Install按钮进行安装,安装完成之后重启idea
C++代码静态分析与优化(10)_rats
zhengtianzuo的博客
04-08 954
总目录传送门 工具名称 rats 版本 2.3 类型 代码分析 官网 https://github.com/andrew-d/rough-auditing-tool-for-security 协议 GNU GPL v2 描述 一个粗糙的安全审计工具,由安全软件公司开发,它是一个扫描C、C++、Perl、PHP、Python和Ruby源代码工具,并标记了常见的与安全相关的编程错误,例如缓冲区溢出和TOCTOU(检查时间,使用时间)竞争条件。顾名思义,该工具只对源代码执行粗略
移动终端DevSecOps安全开发实践-vivo
04-28
5. **编码安全**:使用静态分析工具(如SAST)进行代码安全扫描,检查编码错误导致的基础安全问题和隐私数据相关问题。此外,还有动态扫描工具用于定期全面扫描,以发现潜在的安全问题。 6. **成分安全扫描**:通过...
软件源代码安全测试系统可行性分析报告实施报告实施报告实施报告.doc
12-07
1) 工具集成:集成多种开源或商业的源代码安全扫描工具,形成统一的扫描平台。 2) 自定义规则库:根据业务特性,建立自定义的安全检查规则库。 3) AI辅助分析:利用机器学习技术,训练模型识别潜在的安全模式。 4) ...
信息安全_数据安全_PatrOwl - Orchestrating SecOps w.pdf
08-22
PatrOwl旨在提供一个开源的、统一的、集成的并且可扩展的平台,用于SecOps的自动化和编排。它强调了以下几个关键点: - 持续的全面安全概览,意味着对安全状况有一个持续性的监视。 - 定义威胁情报和漏洞评估扫描...
PHP Security Scanner-开源
05-03
PHP Security Scanner是用PHP编写的工具,旨在搜索PHP代码中的漏洞。 MySQL DB存储要搜索的模式以及搜索结果。 该工具可以扫描文件系统上的任何目录。
2019十大实用且重要的开源工具
01-10
在Black Duck的2017年开源调查中显示,77%的受访企业使用开源构建内部应用程序,69%的受访企业使用开源组件来创建客户应用程序,69%的企业表示开源能够为其基础架构提供动力。受访的企业中有48%表示,他们组织中为开源贡献力量的人数正在增加。 GitHub目前拥有超过2400万用户和超过2500万个公共仓库。在许多领域中,开源项目已成为主导技术,希望让自己保持和最新技术同步的IT专业人员至少需要熟悉这些工具。根据目前的趋势,这里列出十个2019年最重要的开源工具: 一、Docker DevOps和云计算的双重趋势极大地增加了人们对容器技术的兴趣,Docker是容器技术中的领军者,在2
rats使用
qq_41224661的博客
05-20 1275
rats是Rough Auditing tool for security的缩写 rats是一个粗略的安全审计工具。它可以用来扫描C, Perl, PHP, 和Python源码。发现常见的安全问题,如缓冲区溢出,TOCTOU(TIME OF CHECK, TIME OF USE)。正如它名字所暗示的那样,它只对源码进行粗略的扫描。它不会找到每个错误,也可能找到的错误不是错误。手动查看代码还是必须的。 在开始的时候,RATS会扫描在命令行指定的每个文件,或者目录下的每个文件。扫描完成后,它会产生一个报告。 报
5款漏洞挖掘扫描工具,网安人必备!
shandongjiushen的博客
10-14 6918
网安人挖漏洞赚钱,没有趁手的工具怎么行呢?
安全测试工具收集
软件质量优化
12-08 9615
<br />持续收集中...<br /> <br /> <br /> <br />JAD - Java反编译工具<br /> <br /> <br /> <br />Flash Decompiler<br />http://www.flash-decompiler.com/<br />从FLASH文件swf中提取所有资源的工具软件。包括:声音、图像、视频、图形、帧画面、文本、字体、按键、图标及动作脚本。<br /> <br /> <br /> <br />WSockExpert<br />WSockExpe
SonarQube安全扫描
帅小缙的大脑风暴❤
01-19 1973
SonarQube是一个开源代码分析平台,用来持续分析和评测项目源代码的质量。接下来将会简单介绍在Jenkins上如何集成SonarQube,在项目中实现安全扫描分析代码质量。
代码检查、评审、单元测试工具 大搜集
热门推荐
natural_Caduceus
10-12 1万+
1.团队评审工具 静态代码分析工具列表分析代码分析工具列表(30款工具) 2.代码检查工具 华为DevCloud 三款主流静态源代码安全检测工具比较 静态代码分析工具清单:开源篇(各语言) 代码静态分析工具——splint的学习与使用 3.代码测试框架 使用 Jtest:一款优秀的 Java 代码优化和测试工具 java单元测试工具 junit 一文了解十大 Java 开发者必备测试框架! 4....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值