当前市面上的代码审计工具哪个比较好?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了当前市面上的代码审计工具哪个比较好?相关的知识,希望对你有一定的参考价值。

公司是互联网行业的,有几个项目app要做代码安全方面的审计,可是之前没太深入接触过这方面,有没什么好建议?

第一类:Seay源代码审计系统
这是基于C#语言开发的一款针对PHP代码安全性审计的系统,主要运行于Windows系统上。这款软件能够发现SQL注入、代码执行、命令执行、文件包含、文件上传、绕过转义防护、拒绝服务、XSS跨站、信息泄露、任意URL跳转等漏洞,基本上覆盖常见的PHP漏洞。在功能上,它支持一键审计、代码调试、函数定位、插件扩展、自定会规则配置、代码高亮、编码调试转换、数据库执行监控等数十项强大功能。
第二类:Fortify SCA
Fortify
SCA是由惠普研发的一款商业软件产品,针对源代码进行专业的白盒安全审计。当然,它是收费的,而且这种商业软件一般都价格不菲。它有Windows、Linux、Unix以及Mac版本,通过内置的五大主要分析引擎对应用软件的源代码进行静态分析。
第三类:RIPS
RIPS是一款基于PHP开发的针对PHP代码安全审计的软件。另外,它也是一款开源软件,由国外安全研究员开发,程序只有450KB,目前能下载到的最新版本是0.54,不过这款程序已经停止更新了。它最大的亮点在于调用了PHP内置解析器接口token_get_all,并且使用Parser做了语法分析,实现了跨文件的变量及函数追踪,扫描结果中非常直观地展示了漏洞形成及变量传递过程,误报率非常低。RIPS能够发现SQL注入、XSS跨站、文件包含、代码执行、文件读取等多种漏洞,文件多种样式的代码高亮。
参考技术A 比较常用的有以色列的Checkmarx,国产品牌有上海端玛科技的工具DMSCA也很好用,能支持的语言种类多,漏洞扫描准确,自定义规则分析。 参考技术B 目前市场上较成熟的有fortify和codepecker,这两个分别对webgoat进行检测,不论是分析结果、速率、中文界面,后者更胜一筹。 参考技术C 源伞科技Pinpoint,价格透明亲民,扫描速度快、精度高,国产审计工具中处于领先地位,BAT均在使用这一款,集成方便 参考技术D 好不好,把这些产品都试用一下, 好坏就出来了, 很多工具扫描效果是是与你的期望有很大差异的, 目前主流的工具都可以提供网上体验的。比如Fortify、源伞科技Pinpoint、端玛DMSCA、codepecke。。。等

[甲方安全建设之路]自动化代码审计系统

在甲方安全建设的过程中,除了项目上线外需要经过黑盒的安全测试,还需要在整个SDL进行建设。

因为单单只是黑盒测试的点是有限的,但是如果内部内置了一个后门,不能够及时的发现。

如果从0开始去写可能会浪费很多的时候,也不想再去重复造轮子,于是调研了一些开源中比较好的扫描工具,然后花了几天的时候,写了一个简单的在线代码审计系统平台。

在看了lijiejie在爱奇艺中使用的代码审计系统(详情请看爱奇艺安全攻防实践议题分享)

技术图片

 

技术栈如下:

扫描使用了openstack的bandit

前端使用了layui

后端使用django

数据存储层mysql

界面如下:

技术图片

 

技术图片

 

 

在调研用哪一款时参考了比较不错的文章,推荐下。

https://paper.tuisec.win/detail/e03fb4d6934054b

 

以上是关于当前市面上的代码审计工具哪个比较好?的主要内容,如果未能解决你的问题,请参考以下文章

代码审计学php还是java

[甲方安全建设之路]自动化代码审计系统

代码审计小工具

实验一: 代码审计

第38篇:Checkmarx代码审计/代码检测工具的使用教程

Java代码审计入门篇