代码审计

代码审计的几个问题

  • 为什么要进行代码审计

  • 如何把代码审计融入整体的DevOps流程中

  • 覆盖率、漏报率、误报率、处理率如来平衡

  • 如何处理代理审计中的误报、漏报

  • 谁来看代码审计报告、审计的问题如何推动修复

开源&免费代码审计

cobra

cobra:静态代码分析工具。

github地址

安装文档

  • cobra安装

# 解决依赖
yum install flex bison phantomjs -y

# 安装
git clone https://github.com/WhaleShark-Team/cobra.git && cd cobra
pip install -r requirements.txt
python cobra.py --help

  • cobra规则

cobra/rules  # 默认自带规则

rats

官网地址

findbugs

findbugs:插件式静态分析工具。

官网地址

下载地址

  • findbugs安装

直接在开发工具的插件中进行安装,或者下载以后导入。

rips

rips:静态深度分析源代码漏洞的工具,能自动化挖掘PHP代码漏洞。

下载地址

  • 安装与使用

yum install php httpd.x86_64 -y
systemctl start httpd.service

wget https://nchc.dl.sourceforge.net/project/rips-scanner/rips-0.55.zip

unzip rips-0.55.zip

# 填写源代码路径就可以开始扫描了

  • 心得

对PHP项目支持比较友好,其它语言审计效果一般;
与seay法师的审计工具很类似;

  • 参考资料

RIPS源码精读:逻辑流程及lib文件夹大致说明

RIPS源码精读:扫描对象的实例化及token信息的生成

vcg

VCG:简洁的风险函数扫描定位工具,基于字典实现扫描功能。

下载地址

代码审计商业软件对比

备注:如果图片有侵权行为,请联系我!

上一页技术 - 安全开发知识库下一页Cobra安装与使用

最后更新于

这有帮助吗?