安全方向静态代码分析工具试用

最新推荐文章于 2024-08-23 09:11:37 发布

weixin_30875157

最新推荐文章于 2024-08-23 09:11:37 发布

阅读量187

点赞数

原文链接：http://www.cnblogs.com/robotech/p/10415602.html

版权

1、flawfinder

比较早期的安全检查工具。

如果是在Windows上运行，使用python跑脚本是比较方便的方法：

D:\flawfinder-2.0.8>python flawfinder -h

--listrules 参数可以看所有的规则。

安装包里带了几个用于演示的文件，比如test.c

D:\flawfinder-2.0.8>python flawfinder test.c

基本上就是正则匹配了，只是把危险函数找了出来，回溯之类的功能不要想了。。。

2、splint

和flawfinder一样是历史悠久的工具，但是要更先进一些。

实现原理参考：Statically Detecting Likely Buffer Overflow Vulnerabilities http://lclint.cs.virginia.edu/usenix01.html

2、coverity

商业软件，公司买了。

要求代码能够成功编译（不需要链接）。

就目前我试用的感觉，单个函数内的问题还是能发现一些，跨越函数的问题貌似处理的不是很好。

误报率有点高，没有广告中说的那么好。漏报率还不知道~

to be done

3、lgtm

https://lgtm.com/

to be done

转载于:https://www.cnblogs.com/robotech/p/10415602.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30875157

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

【Spring Cloud】新闻头条微服务项目：文章内容安全审核（需求分析及前期准备）

赵四司机的博客

08-21

1146

主要介绍了文章审核的流程以及如何在移动端文章微服务实现保存文章远程接口，为下一篇文章做准备。

容器安全产品

悦分享

07-04

794

概述近两年，随着容器技术越来越多的被大家所青睐，容器安全也逐渐得到了广泛的关注和重视。NeuVector、Aqua、Twistlock等初创公司，陆续的推出了其容器安全的产品和解决方案。在国内，以绿盟科技为代表的安全厂商，也不断的在容器安全领域进行探索和尝试。对于容器环境，或者是容器云，其本质是云计算的一种实现方式，我们可以将其称为PaaS或者CaaS。因此，其整体的安全建设思路，是遵循云计算安全架构的。容器云环境的安全建设，如果暂时抛开物理安全的话，可以粗略分为两个主要方面：一方面是容器云内部的安全建设，

参与评论您还未登录，请先登录后发表或查看评论

pyt：一种用于检测Python Web应用程序中的安全漏洞的静态分析工具

02-05

pyt：一种用于检测Python Web应用程序中的安全漏洞的静态分析工具

4、FlawFInder和cppcheck的使用

qq_55202378的博客

02-21

962

静态分析 Flawfinder

flawfinder 开源项目使用教程

最新发布

gitblog_00852的博客

08-23

356

flawfinder 开源项目使用教程 flawfinder项目地址:https://gitcode.com/gh_mirrors/fl/flawfinder 1. 项目目录结构及介绍 flawfinder/ ├── ChangeLog # 变更日志，记录了项目各版本的更新内容。 ├── COPYING # 许可证文件，描述软件使用的版权协议。 ├──...

Flawfinder使用及其在Python2和Python3环境下对代码进行扫描方法

huanxiajioabu的博客

06-05

517

由于历史原因，Python有两个大的版本分支，Python2和Python3，又由于一些库只支持某个版本分支，所以需要在电脑上同时安装Python2和Python3。对于Flawfinder而言，其是基于 Python2 实现的一款工具，因此其安装及执行均需要在Python2环境下进行，但目前开发中更多地是在使用Python3进行软件开发，所以需要对两个版本的Python进行兼容。在这种方式下，对于Python扩展包的安装也可以进行区分开来，在各自的环境下进行安装。2. Flawfinder的安装。

推荐一款免费开源的代码质量分析工具

jianqiang.xue

06-03

1568

Flawfinder是一款开源的关于C/C++静态扫描分析工具，其根据内部字典数据库进行静态搜索，匹配简单的缺陷与漏洞，flawfinder工具不需要编译C/C++代码，可以直接进行扫描分析。简单快速，最大的有点就是免费，不需要编译。flawfinder工具可以在官网进行下载。

flawfinder使用说明(中文).pdf

06-03

探伤者附带了一本简单的手册，描述了如何使用它。如果您不确定要冒险安装程序，你可以看看首先是文档，其中讨论了如何使用它和它如何支持 CWE。该文档以以下格式提供：这是探伤仪的主要网站，一个简单的程序，用于检查 C/C++源代码并报告可能的安全漏洞（“缺陷”）按风险级别排序。这对于快速查找和删除至少一些非常有用程序广泛发布之前的潜在安全问题向公众开放。任何人都可以免费使用，并可作为开源软件（OSS）使用。参见“探伤仪如何工作？下面，有关其工作原理的更多信息。其他人在探伤仪方面取得了成功;请参阅推荐和评论/论文了解更多信息。如果需要更多详细信息，可以跳到文档。探伤仪经过专门设计，易于安装和使用。你可以安装Python并使用pip，如下所示：

colinweb.github.io：试用站点

02-09

【标题】"colinweb.github.io：试用站点" 是一个个人或组织在GitHub上创建的静态网页项目，主要用于展示其在线存在或者分享技术、作品等信息。这种类型的站点通常基于GitHub Pages服务，允许用户免费托管静态网页。...

Maven编译插件与代码质量工具集成：SonarQube与FindBugs的3大结合策略！

[Maven编译插件与代码质量工具集成：SonarQube与FindBugs的3大结合策略！](https://programmer.group/images/article/ebcea9ffbf7d209cc448072fadfeadde.jpg) # 1. Maven编译插件概述与作用 ## Maven编译插件的基础...

代码保护软件VMP逆向分析虚拟机指令：VMP代码的提取

RoffeyYang的博客

06-24

1375

VMProtect是一种很可靠的工具，可以保护应用程序代码免受分析和破解，但只有在应用程序内保护机制正确构建且没有可能破坏整个保护的严重错误的情况下，才能实现最好的效果。 VMProtect通过在具有非标准体系结构的虚拟机上执行代码来保护代码，这将使分析和破解软件变得十分困难。除此之外，VMProtect还可以生成和验证序列号，限制免费升级等等。下载VMProtect最新试用版相关链接：代码保护软件VMP逆向分析虚拟机指令：初步认识与环境搭建二、VM代码的提取承接上文，我们写了个例子，然后用vmp

flawfinder:一种用于在 CC++ 源代码中查找漏洞的静态分析工具

08-05

关于这是“探伤者”。 Flawfinder 是一个简单的程序，可以扫描 C/C++ 源代码并报告潜在的安全漏洞。它可以是检查软件漏洞的有用工具，也可以更广泛地作为对静态源代码分析工具的简单介绍。它的设计易于安装和使用。 Flawfinder 支持 Common Weakness Enumeration (CWE) 并正式与 CWE 兼容。有关更多信息，请参阅平台 Flawfinder 旨在作为命令行工具在 Unix/Linux/POSIX 系统（包括 Cygwin、基于 Linux 的系统、MacOS 和各种 BSD）上使用。它需要 Python 2.7 或 Python 3。安装如果你只是想使用它，你可以使用 Python 的“pip”或系统的包管理器（flawfinder 有许多系统的包）安装缺陷查找器。它还支持按照通常的make install源安装约定轻松安装

flawfinder

06-26

linux下的工具,对原代码扫描,检测代码中是否有缓冲区漏洞的工具

flawfinder-1.27.tar.gz

09-16

flawfinder-1.27.tar.gz linux 开发工具

Flawfinder的安装及使用

^_^

08-06

5065

Flawfinder是一个源码级的静态漏洞检测工具。本文主要介绍其如何安装及基本使用方法。

Flawfinder开源C/C++静态扫描分析工具安装与使用