代码审计平台开发

关于代码审计，这个东西在安全里面还是占了非常重要的一个模块。有钱的买商业产品，没钱的自己搞搞科研，也可以自己招人开发一个出来，参差不齐。作为一名安全开发其实我也挺想做这一块的，公司内部其实已经有人在做了，突然有一个想法，自己做个开源的产品。集众多开源产品之所长，整个各家资源做一个出来。和公司没有关系。
接下来是架构，开源的代码审计平台有：
RAPS(http://rips-scanner.sourceforge.net/)
VCG(https://sourceforge.net/projects/visualcodegrepp/)
商业的有：Coverity Scan,Checkmarx,Sonar
RAPS是针对PHP的，业界其实有很多PHP的代码审计工具，不过针对java，pyhon的就少了很多。
有一个是美丽联合集团开源的代码审计工具：
Cobra（https://mp.weixin.qq.com/s/I3HGFrSjmeK3zqFDwRyUmQ）
开源的，python开发，可以做java审计等，详情看链接和github就OK
那我我要做的是什么样的呢？从头开始肯定是不实际的，参考汽车之家的代码审计平台架构，在此基础上做一些修改。(图片来源 汽车之家安全分享PPT)


核心的架构就这2张图吧。思路非常好，综合调用商业的扫描引擎，也算是踩在了巨人的肩膀上，然后通过黑白名单进行处理漏报和误报。最后结合公司的使用做平台化管理。缺点是完全依赖于商业的扫描引擎，毕竟是黑盒的，而企业一般都会有自己的框架或者我们需要自定义一些扫描规则，这种情况下，如果再结合Cobra做自适应。整个系统就会非常的灵活。这个框架有一个非常大的好处就是开发人员不一定需要懂审计规则底层的东西，类似语法树知识等学习，核心是扫描引擎的调用。
扫描器处理流程：

剩下的就是一些系统的UI等的设计，按照个人所好设计就好了。
今天立项，接下来开发，尽请期待。