想做一个整合开源安全代码扫描工具的代码安全分析平台

想做一个整合开源安全代码扫描工具的代码安全分析平台,之前研究的主要是Java方向的工具,如:

Find Security Bugs
http://automationqa.com/forum.php?mod=viewthread&tid=2803&fromuid=29

 

最近看的主要是PHP方向的工具:

RIPS
http://rips-scanner.sourceforge.net/
需要研究如何获取结果并转换,因为RIPS是基于网页输出结果的


PHP Security Audit Tool
http://sourceforge.net/projects/phpsecaudit/
使用方法:
C:\PHP Security Test\AUT\dvwa>PHP "C:\PHP Security Test\Tools\phpsecaudit\run.ph
p" --src .
发现不了太多问题!


PHP Security Scanner
http://sourceforge.net/projects/securityscanner/
使用方法
C:\PHPnow\htdocs\securityscanner\bin>php security_scan.php "C:\PHP Security Test
\AUT\dvwa" test1
生成的结果插入MySQL数据库
主要是通过查找关键字的方式定位问题,能找到的问题比较有限,大部分局限在危险函数使用上


SWAAT
https://www.owasp.org/index.php/Category:OWASP_SWAAT_Project
SWAAT was designed for the NET Framework 1.1.4322 or lower
可能是运行环境的问题,下载后运行不成功!


RATS
https://code.google.com/p/rough-auditing-tool-for-security/
This is RATS, a rough auditing tool for security, originally developed by Secure Software Inc. It is a tool for scanning C, C++, Perl, PHP, Python (and soon Ruby) source code and flagging common security related programming errors such as buffer overflows and TOCTOU (Time Of Check, Time Of Use) race conditions.
要build RATS 以来C语言版本的XML解析器Expat:
http://expat.sourceforge.net/


Yasca
http://sourceforge.net/projects/yasca/
整合了:
JLint(Java)
antiC(C/C++、JAVA)
Lint4J(Java)
PMD(Java、JSP)
FindBugs(Java、Jar)
Grep
可扩展插件(PHP、GREP、PMD)


Pixy
http://www.lengmo.net/read.php?486
https://security.web.cern.ch/security/recommendations/en/codetools/pixy.shtml


/PHP-sat
http://www.program-transformation.org/PHP/PhpSatDocumentation
貌似不容易下载安装

 


其他
-------------------------------
PHP Anti-Virus
http://sourceforge.net/projects/phpantivirus/
Scans your web server's file system for dangerous and malicious code in public HTML, PHP, CGI and text files, usually caused by defacement or security holes in shared hosting accounts.
并不针对代码安全漏洞,而是检查是否感染病毒、恶意代码等


在线PHP代码扫描工具
http://evuln.com/tools/php-security/


《PMD Applied》
http://www.pmdapplied.com/

 


小结
-------------------------------
针对PHP源代码安全扫描的开源工具不多,RIPS是相对好的一个,其他的很多只是简单查找危险函数关键字

你可能感兴趣的:(想做一个整合开源安全代码扫描工具的代码安全分析平台)