代码安全审计工具

  应用安全
        代码安全审计是企业信息安全体系建设的重要一环,是软件安全开发生命周期的重要组成部分。通过代码审计能够最大可能地确保安全编码规范的实行,挖掘潜在的安全风险,提升代码安全质量。代码安全审计工具是用来自动化对代码进行安全扫描的利器,目前绝大部分代码审计工具都是静态白盒扫描。总结下业内不错的商业或开源代码审计工具如下:
 
一. 商用静态代码分析检测工具:
  • CheckMarx
  • Fortify SCA
  • 奇安信代码卫士
 
特点:覆盖主流编程语言,规则全,功能强大。我司用的是CheckMarx,效果还是不错的。但商用产品尤其是国外的产品,价格还是挺贵的。
 
二.开源静态代码分析检测工具:
1. 综合性静态代码扫描工具
cobra:支持PHP、Jav等主要开发语言及其它数十种文件类型,支持检测多种漏洞类型,支持命令行模式和API模式。
 
VCG:它是一个基于字典的自动化源代码扫描工具,支持 C++, C#, VB, PHP, Java, PL/SQL and COBOL等多种语言,可以由用户自定义需要扫描的数据,可以对源代码中所有可能存在风险的函数和文本做一个快速定位和检索。
 
2.单一语言静态代码扫描工具
RIPS:PHP代码审计工具,支持跨平台部署,小巧强大。
 
NodeJsScan:Node.JS的代码审计工具
 
GoSec:Go语言代码审计工具
 
Pyt:检测Python Web应用程序中的安全漏洞
 
Brakeman:Ruby on Rails应用静态代码分析工具
 
3.移动端代码安全审计工具
ModSF:移动安全框架(MobSF)是一种自动、一体化的移动应用(Android / iOS / Windows)静态和动态分析的测试,恶意软件分析和安全评估框架。
 
4.代码质量管理工具
SonarQube:SonarQube 是一款用于代码质量管理的开源工具,它主要用于管理源代码的质量。 通过插件形式,可以支持众多计算机语言,比如 java, C#, go,C/C++, PL/SQL, Cobol, JavaScrip, Groovy 等。sonar可以通过PMD,CheckStyle,Findbugs等代码规则检测工具来检测代码,帮助发现代码漏洞。
访问地址:https://www.sonarqube.org/
    
    owasp有个《静态源代码安全分析工具测评基准》,主要是为了创建一个第三方的、中立的源代码安全分析工具检测基准,以供安全组织与专家对静态源代码安全审核工具进行全面及公正的评估。不管是计划采购商业代码检测产品,或者部署开源代码检测工具,在进行poc测试的时候参考owasp的这个基准是个很不错的选择。
 
欢迎关注公众号:Fifth Element