源代码分析工具也称为静态应用程序安全性测试工具或SAST工具,旨在向开发人员提供有关他们可能在代码中引入的问题的即时反馈,这与在软件开发生命周期中后期查找漏洞相比非常有用。循环(SDLC)。
从一开始就随着创建高质量安全代码的增加,出现了向采用这些工具的更大转变。如今,市场上没有大量可用的工具,但是对于初创公司和自由职业者来说,商业选择太昂贵了,但是请不要担心,这里列出了一些顶级的免费开源静态代码分析工具。
VisualCodeGrepper是针对常用的最流行的编程语言的超快速且强大的源代码分析工具,全面的扫描工具,它是针对C,C ++,C#,VB,PHP,Java,PL / SQL和COBOL的自动化工具,可大大加快代码的速度通过识别不安全的代码来检查过程。它尝试在注释中查找可以指示代码损坏的短语,并通过统计数据和饼图提供详细的报告。它具有一些很棒的功能,这对进行代码分析的任何人都非常有用,尤其是在时间很昂贵的情况下:
RIPS(增强编程安全性)是针对PHP,Java和Node.Js的语言特定的静态代码分析工具。它可以自动检测PHP和Java应用程序中的安全漏洞,是应用程序开发的理想选择。该工具支持所有主要的PHP和Java框架。它可以部署为自托管软件或用作云服务。具有SDLC集成和相关行业标准。除了RIPS之外,没有其他工具可以检测到最深层嵌套在代码内部的最复杂的安全错误,并且准确性极高,因此它是分析代码的理想选择。
它是一个免费的开放源代码漏洞扫描程序,专门为Ruby on Rails应用程序设计。它是一个静态代码分析器,可在开发过程中的任何阶段扫描Rails应用程序代码以发现安全问题。与许多其他Web安全扫描程序不同,此工具可以查看应用程序的源代码,因此无需设置整个应用程序堆栈即可使用它。扫描应用程序代码后,它将针对所有安全问题生成详细的报告。
它是一个免费的简单程序,可以扫描C或C ++源代码,从而快速识别可能的安全漏洞并生成按风险级别排序的报告。它作为开源软件提供,对于在程序广泛发布之前快速发现并消除潜在的安全问题非常有用。它非常易于使用,并且经过专门设计,易于与python的pip一起安装,并附带一个简单的用户指南。它与Common Weakness Enumeration(CWE)兼容,并获得了CII最佳实践通过徽章。对于初学者来说非常有用,它对静态源代码分析工具进行了简单介绍。它设计为在Unix,Cygwin,基于Linux的系统和macOS上用作命令行工具,并且仅需要Python 2.7或Python 3。
这是一个免费工具,专门用于查找Python代码中的常见安全问题。它使用适当的插件处理每个文件,并在python代码中生成有关可能的安全性错误的详细报告。它是带有Apache License 2.0的开源软件。可以在开发过程中或之后使用此工具,以在将代码投入生产之前查找Python代码中的常见安全问题,或使用此工具来分析现有项目并查找可能的缺陷。