秋风AI代码审计工具[工具推荐]

已于 2025-01-22 12:56:18 修改
阅读量1.7k 收藏 8
点赞数 4
文章标签: 安全 web安全
于 2025-01-22 12:47:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47099592/article/details/145301127
版权

前言

经过相当的一段时间开发和很多通宵的优化修改,内测,这个工具总算可以把1.0版本拿出来给大家了,同时非常感谢lingview师傅让开发得以顺利,zac(点点)师傅给出了idea,并参与到优化中,非常感谢

工具亮点

结合了污点分析+ast分析+AI分析(两轮不同提示词校验)验证并输出payload

拥有在线和离线两种模式 api调用和本地ollama调用

支持php和java的审计

以及看起来还不错的功能优化调教

工具截图

使用手册

左上角文件 打开文件将会导入文件夹并自动开始审计

在第三页的设置栏我们可以选择在线或者离线模式

在线模式的API key 和url我们比方使用deepseek
https://platform.deepseek.com/api_keys
在开放平台创建key即可

离线模式

离线模式仅支持ollama 内部写的也是ollama的调用
模型名称是你的ollama list的模型

离线模式提示词可以修改 不过这会间接导致很多问题,包括但不限于 无法正常回显 误报率增加 等等问题 不过改好了的话将会使误报率大大降低
这个是我们提供的 提示词模版:

你是一个代码审计专家用来辅助我判断代码有没有安全漏洞,你的职责是判断我给你的漏洞有没有可控点,我只会给你代码你只需要回答,存在漏洞,不存在漏洞,以及无法判断,不需要解释!!!,不需要你给出修复 防止 等等建议只需要回答,存在漏洞,不存在漏洞,以及无法判断这几个选择
总之回答的 存在漏洞,不存在漏洞,以及无法判断 不需要解释是核心

离线模式我们不进行二次校验,并且不推荐和建议大家去进行大项目的离线审计,只建议单代码文件进行审计,这完全是因为本地大模型GPU的局限性

漏洞跳转到代码界面

点击漏洞即可跳转

这个搜索是文件内搜索

在左上角文件–>搜索是全局关键字搜索

获取方式

蓝奏云:https://wwcl.lanzn.com/icRyV2lkqflg

q1uf3ng
关注
代码审计:Fortify SCA 代码审计神器.
网络安全领域___专研者.
06-02 3610
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。Fortify 支持多种编程语言,包括 Java、C/C++、C#、PHP、JavaScript 等。
Seay——代码审计工具
12-26
一款优秀的代码审计工具,省去了大量的人工,值得拥有
PHP代码审计工具——Rips详细使用教程
2201_75735270的博客
03-09 2393
代码审计工具可以辅助我们进行白盒测试,大大提高漏洞分析和代码挖掘的效率。在源代码的静态安全审计中,使用自动化工具辅助人工漏洞挖掘,一款好的代码审计软件,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。代码审计工具按照编程语言、审计原理、运行环境可以有多种分类。商业性的审计软件一般都支持多种编程语言,比如VCG、Fortify SCA,缺点就是价格比较昂贵。其他常用的代码审计工具还有findbugs、codescan、seay,但是大多都只支持Windows环境。
几款最佳的代码审查工具
最新发布
A_991128a的博客
03-05 1119
好的代码审查器可以大大地帮助程序员提高代码质量,减少错误几率。虽然现在市场上有许多可用的代码审查工具,但如何挑选也是一个艰巨的任务。在咨询过有关专家的建议和意见之后,我们罗列出了以下17款最佳的代码审查工具。CodeStriker是一个免费&开源的Web应用程序,可以帮助开发人员基于Web的代码审查。它不但允许开发人员将问题、意见和决定记录在数据库中,还为实际执行代码审查提供了一个舒适的工作区域。RhodeCode是另一款非常棒的代码审查工具,能让你发现代码中的bug和问题,并在检查过后删除它们。
代码审计工具有哪些?网络安全课程学习
VN520的博客
03-21 2181
代码审计,顾名思义就是检查源代码中的安全缺陷,检查程序源代码是否存在安全隐患,或者有编码不规范的地方,通过自动化工具或者人工审查的方式,对程序源代码逐条进行检查和分析,发现这些源代码缺陷引发的安全漏洞,并提供代码修订措施和建议。那么代码审计工具有哪些?以下为详细的内容介绍。在源代码的静态安全审计中,使用自动化工具代替人工漏洞挖掘,可以显著提高审计工作的效率。而且学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。
代码审计工具
m0_51428325的博客
04-30 2463
三款自动化代码审计工具各有优势,我是下载的VCG做的代码审计,可以根据自身的实际情况选择工具。 0×01简介 工欲善其事,必先利其器。 在源代码的静态安全审计中,使用自动化工具代替人工漏洞挖掘,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。在学习PHP源代码审计的过程中,本人搜集使用了多款自动化工具。本文将简要介绍其中三款比较实用的工具:RIPS、VCG、Fortify SCA。 RIPS是一款开源的,具有较强漏洞挖掘能力的自动化代码审计工具。它使用PH..
代码审计Code Review工具
buyue
12-28 335
1.CodeFlow 目前CodeFlow已集成到Visual Studio等编辑器 2.阿里云 云效 代码管理
svn代码上传工具
06-27
【svn代码上传工具】 在软件开发过程中,版本控制系统扮演着至关重要的角色,它允许开发者跟踪和管理项目中的源代码变更。其中,Subversion(简称svn)是一种广泛应用的集中式版本控制系统,而TortoiseSVN则是一个...
deepseek 代码审计
02-13
例如,在提到的案例中,秋风AI代码审计工具就被用来帮助识别代码中的安全隐患和其他质量问题[^3]。 - **动态测试配合使用**:除了静态扫描外,还需要结合实际运行时的行为监控来捕捉那些仅靠静态方式难以发现的问题...
代码审计工具汇总
10-06
配套 【随 亦】的博客《代码审计--8--环境搭建+工具使用》一文的资料。注意文档哦
Seay代码审计工具
04-11
Seay代码审计工具代码审计可以使用。
Java代码审查工具
07-28
代码评审是指在软件开发过程中,对源代码的系统性检查,随时知道自己代码的质量
seay代码审计工具
10-06
seay代码审计工具 亲测可用 seay代码审计工具 亲测可用 寻找漏洞 亲测可用
matlab摄像头标定工具
04-19
MATLAB作为一个强大的数值计算和数据分析平台,提供了专门的摄像头标定工具包,方便用户进行这项工作。本文将详细讲解MATLAB摄像头标定工具包的相关知识点。 一、摄像头模型 摄像头标定的目标是建立摄像头的内在...
deepseek代码审计
02-28
通过引入秋风大佬团队开发的 AI 代码审计工具,能够自动检测潜在的安全漏洞以及不符合最佳实践的质量问题[^1]。 #### 定制化静态分析配置 为了提高针对特定框架或库的支持效果,在进行 Java 源码审查时可以根据官方...
ESDPS秋风版4.0小软件测量工具发布
标题“ESDPS秋风版4.0.rar”表明我们讨论的是一个名为ESDPS的软件版本,具体为秋风版4.0,且该版本以压缩包的形式存储。由于标题中存在缩写,需要解释其含义。ESDPS可能代表“Electrostatic Discharge Protection ...
生命在于学习——代码审计工具
易水哲的博客
09-20 2287
代码审计工具的学习
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值