对于那些使用过商业安全代码审查工具的人,例如:
或者也许是免费或开源的等价物,例如:
您通常更喜欢 in-DE 插件/插件(例如 Fortify Secure Coding Plugin for Eclipse)、独立的胖应用程序(例如 Audit Workbench)、Web 应用程序(例如 Armorize、Fortify Teamserver)、完整的构建服务器解决方案等? 为什么?
答案不多,但我想说这更多地取决于每个产品的功能集,以及每个界面的可用性。
例如,Fortify 的 IDE 插件、fatapp 和 webapp 在支持的功能上是不等价的。更有什者,Fortify 的 Eclipse 插件并不等同于他们自己的 VisualStudio 插件!
但原则上,假设所有其他条件相同,我的偏好是:
请注意,以上主要依赖于自动化代码扫描器,而不是手动代码审查。有时这是需要的,但通常通常不够好。
两者都是必要的,取决于开发生命周期方法:例如,通常在 Scrum 项目中,基于 IDE 的项目更有意义,因为您可以添加一个积压项目,要求每个 sprint 扫描一次代码,甚至每次扫描一次天,这将非常有用。
另一方面,如果您在 Waterfall 或 Spiral 中进行开发,那么选择独立版本的工具将是集成许多软件包的更明智选择。
正如 AviD 为其他开发人员所提到的,独立版本会更好
在独立使用 Fortify 时,使用它的 Maven 插件和对其 Team Foundation 插件的简要介绍,我有一组与 AviD 类似的偏好:
当您可以提供完整的代码库时,独立版非常可爱,它运行迅速,只要您拥有所有依赖项,它就可以正常工作!
为了实现一个重复的测试场景,插件是要走的路——让它们内置,以便编译和构建自动审查安全问题。
管理确实需要报告和趋势,因此需要管理服务器。
tl;博士-AviD 说的差不多:-)
根据我的经验,对于代码审计员和代码审查员来说,独立的应用程序可能是最好的。
基于 Web 的界面的优势在于协作:如果您有一个团队正在审核应用程序,对静态分析警告进行分类和分析,输入他们对警告是否是错误及其严重性的分析等等。基于 Web 的界面非常适合。
我个人不知道开发人员会喜欢什么。我怀疑 IDE 插件可能具有优势,因为它能够提供快速反馈以及与开发人员已经使用的工作流程的集成,但我在这里猜测。