代码审计平台开发

最新推荐文章于 2024-06-02 15:16:35 发布
最新推荐文章于 2024-06-02 15:16:35 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: 开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25834767/article/details/83504633
版权

关于代码审计,这个东西在安全里面还是占了非常重要的一个模块。有钱的买商业产品,没钱的自己搞搞科研,也可以自己招人开发一个出来,参差不齐。作为一名安全开发其实我也挺想做这一块的,公司内部其实已经有人在做了,突然有一个想法,自己做个开源的产品。集众多开源产品之所长,整个各家资源做一个出来。和公司没有关系。
接下来是架构,开源的代码审计平台有:
RAPS(http://rips-scanner.sourceforge.net/)
VCG(https://sourceforge.net/projects/visualcodegrepp/)
商业的有:Coverity Scan,Checkmarx,Sonar
RAPS是针对PHP的,业界其实有很多PHP的代码审计工具,不过针对java,pyhon的就少了很多。
有一个是美丽联合集团开源的代码审计工具:
Cobra(https://mp.weixin.qq.com/s/I3HGFrSjmeK3zqFDwRyUmQ)
开源的,python开发,可以做java审计等,详情看链接和github就OK
那我我要做的是什么样的呢?从头开始肯定是不实际的,参考汽车之家的代码审计平台架构,在此基础上做一些修改。(图片来源 汽车之家安全分享PPT)
在这里插入图片描述
在这里插入图片描述
核心的架构就这2张图吧。思路非常好,综合调用商业的扫描引擎,也算是踩在了巨人的肩膀上,然后通过黑白名单进行处理漏报和误报。最后结合公司的使用做平台化管理。缺点是完全依赖于商业的扫描引擎,毕竟是黑盒的,而企业一般都会有自己的框架或者我们需要自定义一些扫描规则,这种情况下,如果再结合Cobra做自适应。整个系统就会非常的灵活。这个框架有一个非常大的好处就是开发人员不一定需要懂审计规则底层的东西,类似语法树知识等学习,核心是扫描引擎的调用。
扫描器处理流程:
在这里插入图片描述
剩下的就是一些系统的UI等的设计,按照个人所好设计就好了。
今天立项,接下来开发,尽请期待。

yib0y
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
php代码审计入坑实践.pdf
07-30
1. **phpStudy**:这是一个集成的Web开发环境,包括PHP、MySQL等服务,用于搭建本地开发和测试平台。操作目的包括下载和安装phpStudy,以及确保Web应用能够正常运行。 2. **NotePad++**:这是一款免费且功能强大的...
docker-compose部署sonarqube开源代码审计和分析平台
qq_26078953的博客
05-17 404
docker-compose部署sonarqube开源代码审计和分析平台
SonarQube代码审计平台搭建
Tison的博客
04-14 1356
1 概述 SonarQube是一个开源平台,用于管理源代码得质量。SonarQube不只是一个质量数据报告工具,更是代码质量管理平台。 支持java, C#, C/C++, PL/SQL, Cobol, JavaScrip, Groovy 等等二十几种编程语言的代码质量管理与检测。 SonarQube可以从以下七个维度检测代码质量,而作为开发人员至少需要处理前5种代码质量问题。 (1) 不遵循代...
代码审计:Fortify SCA 代码审计神器.
最新发布
网络安全领域___专研者.
06-02 1150
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。Fortify 支持多种编程语言,包括 Java、C/C++、C#、PHP、JavaScript 等。
代码审计利器-Seay源代码审计系统
热门推荐
Yale的博客
05-31 3万+
Seay压缩文件 解压Seay后进行安装 一路默认即可 下载安装.net相关组件即可正常使用 主界面如图 5.2 实验任务二 这次还是以dvwa为例 左上角新建项目,选择dvwa源码文件夹 点击确定后在左侧列出了文件组织结构 点击上方菜单栏的自动审计 点击开始 就会开始审计 进度显示在下方 我们可以点击生成报告,方便持续跟踪审计 在浏览器中查看,漏洞类型,文件路径,可疑函...
浅析开源项目的代码审计
xxx
10-02 1030
最近一段时间,在一个前端大佬那里了解到一个构建知识图谱的开源项目,激起了我的兴趣。我之前讨论过如何构建垂直搜索引擎,本质上也是想构建出独特的领域知识。这个开源项目是以这个开源项目为例,我将一步步剖析如何读懂一个开源项目,以及利用各种方法尽可能的去了解这个项目。
静态代码审计工具Cobra/Cobra-W/find-sec-bugs
公众号shadow sock7
02-03 4339
之前童话师傅写过一篇Cobra静态代码审计工具的源码分析,所以先看看这个工具吧。 源码在: https://github.com/WhaleShark-Team/cobra 后来还有Lo写的一个改版: https://github.com/LoRexxar/Cobra-W 都试试吧。 ...
php-java+代码审计+代码审计软件seay+程序员+挖洞+代码审计漏洞查找+生成代码审计报告
03-08
"代码审计资料整理"可能包含各种教程、最佳实践和案例研究,这些资料可以帮助开发者系统地学习代码审计的方法,提高审计技能,并从中汲取经验教训,避免在实际开发中重蹈覆辙。 **生成代码审计报告** 审计过程的...
php代码审计比较有意思的例子
10-25
在IT行业中,代码审计是一项至关重要的安全实践,它旨在发现并修复软件代码中的潜在漏洞和安全问题。这里的例子提到了一个关于...因此,代码审计不仅是开发过程的一部分,也是持续改进和维护应用程序安全的重要环节。
Seay源代码审计系统
01-24
代码审计是软件安全开发生命周期中的关键步骤,它涉及到对程序源代码的深入检查,目的是发现可能导致安全漏洞、性能问题或不符合编码规范的代码片段。Seay系统通过自动化和半自动化的工具集,减轻了这一过程的复杂...
代码审计-企业级Web代码安全架构-247页.zip
10-08
代码审计-企业级Web代码安全架构》是一本详尽阐述企业级Web应用程序代码安全的指导书籍,共计247页。这本书旨在帮助开发者、安全工程师以及IT专业人员理解和实施有效的代码审计策略,以保障Web应用程序的安全性。...
前端代码审查利器:vscode插件GitLab Workflow
toBeMN的博客
03-01 7677
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
[ 代码审计篇 ] 代码审计思路 详解
tpriwwq的专栏
09-19 2384
代码审计代码审计代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。
Seay源代码审计
qq_59611876的博客
04-17 4346
Sea源代码审计
codeql 代码审计
温和的跳跃
10-07 7606
刚刚把环境搭建好了。。。搭建环境永远是最讨厌的一步 如果你只是想看看codeql运行起来有什么效果 ,怎么运行,大概怎么使用。那么我建议你打开这个公共课程 CodeQL U-Boot Challenge (C/C++) | GitHub Learning LabLearn to use CodeQL, a query language that helps find bugs in source code. Find 9 remote code execution vulnerabilities in
探索源代码安全的强大力量:Cobra
gitblog_00095的博客
05-11 267
探索源代码安全的强大力量:Cobra 项目地址:https://gitcode.com/FeeiCN/Cobra 在软件开发中,源代码安全审计是保障应用健壮性和稳定性的重要环节。为此,我们很高兴向您推荐一款强大的开源工具——Cobra,一个专为源代码安全审计而生的多语言利器。 项目介绍 Cobra 是一款全面且高效的源代码安全审计工具,旨在帮助开发者发现并修复各种编程语言中可能存在的安全问题和漏洞...
cobra mysql_Cobra眼镜蛇代码审计工具安装指南 | CN-SEC 中文网
weixin_34871733的博客
01-26 363
眼镜蛇(Cobra)是一款定位于静态代码安全分析的工具,目标是为了找出源代码中存在的安全隐患或者漏洞。最近无意中发现了一款代码审计工具,自己尝试安装了一下,发现安装过程遇到了太多的问题,记录一下。原文安装指南:本人的安装环境:操作系统:CentOS 6.6 X64Python版本:2.6.6 + 2.7.12说明:由于python2.6.6比较老了,有些功能不支持,所以我升级成了python2.7...
java学习日记(2022-2-21)
水工土成
03-14 5034
一、安装Sonar Sonar (SonarQube)是一个开源平台,用于管理源代码的质量 可以使用docker快速安装postgres和sonarqube sonarqube系列一:SonarQube搭建 - docker方式_dabaoting的博客-CSDN博客 docker run -d --name postgres \ -e POSTGRES_USER=sonarqube \ -e POSTGRES_PASSWORD=sonarqube \ -e PGDATA=/.
代码审计系统 Swallow 开发回顾
汤青松博客
04-03 346
做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify集成到自己的业务系统中去最近几年安全行业发展的很快,以前少见的组件安全产品也多了起来,可以自定义扫描规则的semgrep,还有GitHub的以及codeQL产品,工具越来越多,如果还是之前的单个工具打开模式效率也不会太高.所以想着干脆做一个代码聚合的审计系统。
PHP代码审计:跨平台挑战与危险函数剖析
1. **跨平台与广泛应用**:PHP作为一种流行的服务器端脚本语言,支持多种操作系统,且被广泛用于网站开发,其代码审计的需求量大。 2. **变量处理灵活**:PHP允许对变量进行复杂的操作,如变量覆盖和使用全局变量,...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值