静态代码安全扫描工具Cobra

静态代码安全扫描工具Cobra

业务大了，代码多了，自然公司就有了代码审计的需求，因此需要找一款代码审计的工具软件。

眼镜蛇(Cobra)是一款定位于静态代码安全分析的工具,目标是为了找出源代码中存在的安全隐患或者漏洞。

GITHUB：https://github.com/WhaleShark-Team/cobra

文档：http://cobra.feei.cn/

其主要原理是利用函数定位及正则表达式扫描代码文件，提示可能存在的漏洞，使用python开发，拥有支持开发语言多，升级简单、自定义规则 简单的特点。

cobra的文档很清晰明了，安装时注意下python即pip的版本即可（笔者2.7版本没装成功，改为3.5后成功安装）

cobra定位是工具类软件，虽然带了一个管理的web界面，但是也只能简单看下漏洞，没有任何管理功能，另在项目文件较多的场景下，速度较慢。因此并不是类似sonarqube的平台，当做挖洞工具使用最好。

如果仅仅依赖内置规则，应该说误报率还是挺高的，因此如果想让工具好用，不能完全依赖于既有的规则，必须研究开发编写自定义规则，才能让误报率降低，更好用。工具只能做出相应提示，至于是不是漏洞则是开发者自己判断才行。必须对工具有正确的期望。

另，cobra的开发者的github主页上，还有一些其他的安全项目，对于安全感兴趣的同学，可以研究下
https://github.com/FeeiCN