是否有任何用于 C# / .NET 代码的免费静态分析工具

信息安全 源代码 代码审查 开源
2021-08-29 05:24:57

一位客户最近要求我对 C# 代码进行代码审查。作为一名独立承包商,我想知道有哪些自动化解决方案可以让我不必花很多钱来执行类似的任务。

到目前为止,我遇到了 O2 平台,但文档到处都是。微软的 FxCop 是我发现的另一个工具,但他们的报告很糟糕,我想要一些可以给我一份报告的东西,我可以用它来进一步进行手动检查,而不必拔出头发试图读取输出。

在质量扫描、独立承包商的免费/相对较低的价格和良好的报告方面,您对进行代码审查有什么建议?

3个回答

Roslyn Security Guard 现在可用并且是免费的。https://dotnet-security-guard.github.io/

更新:此项目不再维护,已在此处分叉并在此处改进:https ://github.com/security-code-scan/security-code-scan 。

顺便说一句,请务必通过选择为完整的代码库启用它Tools > Options -> Text Editor -> C# -> Advanced -> "Enable full solution analysis"

一般来说,SAST 工具对于现场托管解决方案来说往往非常昂贵,而对于 c#,我不知道有很多好的免费工具

您可以考虑的一种选择是一些工具供应商所做的按需样式扫描,如果您进行较少数量的扫描,这可能会更便宜,而且您也可以考虑成本你的评价。

一些选项

看看微软的 CAT.NET。

http://www.microsoft.com/en-us/download/details.aspx?id=19968

它是 Visual Studio 的一个管理单元,可以对多种不同的语言进行静态分析。

其它你可能感兴趣的问题
上一篇对于 HTTPS,每个会话一个 CSRF 令牌是否足够? 下一篇如果大多数公司没有为 SMTP 和 IMAP 启用 TLS,我们是否应该认为电子邮件根本不安全?