眼镜蛇(Cobra)是一款定位于静态代码安全分析的工具,目标是为了找出源代码中存在的安全隐患或者漏洞。
GITHUB:https://github.com/WhaleShark-Team/cobra
文档:http://cobra.feei.cn/
其主要原理是利用函数定位及正则表达式扫描代码文件,提示可能存在的漏洞,使用python开发,拥有支持开发语言多,升级简单、自定义规则 简单的特点。
cobra的文档很清晰明了,安装时注意下python即pip的版本即可(笔者2.7版本没装成功,改为3.5后成功安装)
cobra定位是工具类软件,虽然带了一个管理的web界面,但是也只能简单看下漏洞,没有任何管理功能,另在项目文件较多的场景下,速度较慢。因此并不是类似sonarqube的平台,当做挖洞工具使用最好。