静态代码和动态代码的区别_静态代码扫描方法及工具介绍

最新推荐文章于 2024-06-01 17:42:59 发布
最新推荐文章于 2024-06-01 17:42:59 发布
阅读量4.8k 收藏 3
点赞数
文章标签: 静态代码和动态代码的区别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39725594/article/details/111361087
版权

来自:信安之路(微信号:xazlsec)

本文作者:国勇(信安之路特约作者)

静态扫描就是不运行程序,通过扫描源代码的方式检查漏洞,常见的方法也有多种,如把源代码生成 AST(抽象语法树)后对 AST 进行分析,找出用户可控变量的使用过程是否流入到了危险函数,从而定位出漏洞;或者通过正则规则来匹配源代码,根据平常容易产生漏洞的代码定制出规则,把这些规则代入到代码中进行验证来定位漏洞。当然静态扫描由于不运行程序也有好多事情处理不了,如程序通过运算得到的一个结果后,就没办法分析这个结果了,所以需要动态运行程序来解决这个问题,也就是动态扫描,动态扫描可以通过单元测试或人工扫描等方式,下面分别介绍一下 AST 扫描 与 正则匹配两种常见静态扫描方式。

AST(抽象语法树)扫描

d3e5ceb6075e1ec142c0bf85c58bed90.png

此方式把源码生成 AST(抽象语法树),找出用户可控的 source (如 location.hrefdocument.urldocument.documentURI) 是否流入到了敏感的 sink (如 evilnew functionsetTImeoutsetInterval) 中,常见的 source 与 sink 可参考这个文档:

https://docs.google.com/spreadsheets/d/1Mnuqkbs9L-s3QpQtUrOkPx6t5dR3QyQo24kCVYQy7YY/edit#gid=0。

最低0.47元/天 解锁文章
weixin_39725594
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
软件质量需要静态代码分析和动态测试
qq_40234985的博客
11-22 3257
召回活动增多、交付延迟、难以按时交付承诺的功能:软件质量不明显。只有通过一致的行动、遵守标准以及使用成熟的测试和质量保证工具,才能开发出好的软件。糟糕的软件会导致金钱损失和企业形象的恶化。嵌入式软件更为关键,因为它主要用于安全关键应用程序。在这里,软件错误可能危及人的生命,因此必须不惜一切代价避免。为此,ISO 26262、IEC 61508 或 DO178-C 等标准对软件的开发和测试质量有严格的要求。 为确保质量,静态代码分析程序和动态分析(包括单元测试)期间对可执行软件的测试都是必要的。由于这两种方法
透明LED显示屏静态扫描动态扫描有什么区别
联曼光电LED透明屏
08-14 2363
透明LED显示屏驱动方式有静态扫描动态扫描两种,静态扫描又叫扫描驱动。下面具体来看看这两种扫描方式的特点及区别扫描方式:在一定的显示区域内,同时点亮的行数与整个区域行数的比例。 1、动态扫描动态扫描是从驱动IC的输出到像素点之间实行“点对列”的控制,动态扫描需要控制电路,成本要低,显示效果差一些,亮度损失较大,亮度偏低,适用于室内环境显示,比如室内橱窗门店。 2、静态扫描:静态扫描是从驱动IC的输出到像素点之间实行“点对点”的控制,静态扫描不需要控制电路,成本要高,但显示效果好,稳定性好,亮度损失
[Linux]cppcheck静态检查代码和valgrind内存泄露动态检查
最新发布
zzzlearning的博客
06-01 496
cppcheck是一个静态代码分析工具,它可以在不运行程序的情况下检查C/C++源代码。Valgrind则是一个动态分析工具,擅长检测内存管理问题,如内存泄漏、访问已释放的内存、不正确的使用malloc/free等。
代码静态检查
热门推荐
渀波儿灞
06-17 1万+
1、介绍 代码检查可以有效的提高代码质量,更进一步的说代码检查不仅仅是为了提高代码质量, 静态检查是指不运行被测程序本身,仅通过分析或检查源程序的语法、结构、过程、接口等来检查程序的正确性。
几个实用的软件开发工具之——代码检测工具
常高伟的专栏
09-18 1万+
3代码检测工具介绍几个动态静态代码检测工具,可以帮助发现代码BUG。3.1 MEMWATCHMEMWATCH 由 Johan Lindh 编写,是一个开放源代码 C 语言内存错误检测工具,您可以自己下载它(请参阅本文后面部分的 参考资料)。只要在代码中添加一个头文件并在 gcc 语句中定义了 MEMWATCH 之后,您就可以跟踪程序中的内存泄漏和错误了。MEMWATCH 支持 ANS
库博静态代码分析工具v4.3-用户操作手册.docx
05-19
本资源适用于软件开发人员、测试人员、项目管理人员等需要使用静态代码分析工具进行代码质量分析、错误排查和性能优化的专业人士。无论您是初学者还是经验丰富的专业人士,都能从这份手册中获得有用的信息和帮助。
静态代码扫描工具TscanCode.zip
07-27
TscanCode是一款备受业界关注的静态代码扫描工具,它以其强大的功能和易用性,为开发者提供了一种有效检查代码问题的方式。本文将深入探讨TscanCode的主要特性和应用场景,以及如何使用它来提升软件开发过程的质量。...
静态代码安全检测工具比较.pdf
06-20
【描述】:本文将对Fortify SCA、Checkmarx CxSuite和Armorize CodeSecure这三款静态代码安全检测工具进行详细的对比,探讨它们的特点、优势和局限性,以便于理解和选择适合的代码审计工具。 【标签】:SAST...
让开发自动化持续重构--使用静态分析工具识别代码味道
02-25
我喜欢编写新的代码,但也喜欢采用一些现有的代码,以某种方法将其简化或将重复的代码提取到一个公共类中。在我早期的工作生涯中,许多人都认为如果不编写新的代码就不会有好的效率。幸好,在20世纪90年代末,...
分析工具动态
02-26
分析工具动态
TscanCode 是腾讯研发的静态代码扫描工具 for mac
02-17
1. 支持多种语言:C/C++、C语言和LUA代码。 2. 快速准确,性能可达每分钟200K线,准确率达90%左右。 3. 使用方便,不需要严格的编译环境,一个命令即可运行。4. 可扩展,您可以使用TscanCode实现自己的检查。
TscanCode超好用的静态代码扫描工具,支持C++/C#/Lua语言,源码及编译好的安装包
07-03
逻辑错误,重复的代码分支,bool类型和INT进行比较,表达式永远True或者false等共18类检查 可疑代码检查,if判断中含有可疑的=号,自由变量返回局部变量等共计15类检查 运算错误,判断无符号数小于0,对bool类型进行+...
deploy-sonar代码扫描分析工具
03-01
SonarQube是一款强大的开源代码质量管理工具,它集成了代码静态分析、复杂度计算、代码异味检测、漏洞查找等功能,帮助开发者在软件开发过程中发现并修复代码问题,提高代码质量和安全性。在本文中,我们将深入探讨...
Chekhov是用于infrastructure-as-code的静态代码分析工具-python
06-18
Chekhov是用于infrastructure-as-code的静态代码分析工具。 它扫描使用Terraform设置的云基础架构,并检测安全性和合规性错误配置。 Checkov 是基础设施即代码静态代码分析工具。 它扫描使用 Terraform、...
静态代码扫描学习
chargozj的专栏
10-28 683
静态代码分析工具都是
C/C++代码静态扫描动态测试工具
luke_wang的专栏
06-04 9287
Clang-tidy http://clang.llvm.org/ Coverity
大数据平台测试-后端代码扫描工具
全村的希望的博客
06-20 912
后端代码扫描工具是用于静态代码分析和检测代码质量问题的工具。它可以帮助开发人员和团队发现潜在的编码错误、安全漏洞和性能问题等,并提供修复建议和最佳实践。以下是一些常用的后端代码扫描工具:SonarQube:SonarQube 是一个开源的代码质量管理平台,提供了广泛的代码检查规则和指标,可以检测代码质量、安全漏洞、重复代码等问题,并生成详细的代码质量报告。Checkstyle:Checkstyle 是一个静态代码分析工具,主要用于检查代码风格和编码规范是否符合预定义的标准。
静态代码扫描工具java_静态代码扫描工具
05-13
Java的静态代码扫描工具很多,以下是一些常用的: 1. FindBugs:是一个开源的静态代码分析器,可以检查Java代码中的错误、缺陷和潜在的性能问题。 2. PMD:也是一个开源的静态代码分析器,可以检查Java代码中的代码规范和潜在的性能问题。 3. Checkstyle:是一个开源的代码规范检查工具,可以帮助开发人员遵循Java代码的规范。 4. SonarQube:是一个开源的代码质量管理平台,可以集成多种静态代码扫描工具,提供全面的代码质量分析。 5. IntelliJ IDEA:是一款集成开发环境,内置了代码分析工具,可以对Java代码进行静态分析。 6. Eclipse:也是一款集成开发环境,内置了代码分析工具,可以对Java代码进行静态分析。 以上工具都有各自的特点和优缺点,可以根据实际需要选择使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值