有哪些好的免费开源工具可以帮助手动进行源代码审查?

信息安全 源代码 代码审查 开源 人工审核
2021-08-23 03:26:28

我知道有助于识别源代码中的安全漏洞的工具(静态分析工具),例如用于 Java 的 Findbugs 或用于 PHP 的 Pixy,但我想知道一些好的免费开源工具,它们可以帮助您完成记录和跟踪代码的任务进行手动源代码审查。能够在不同的测试人员/审阅人员/开发人员/分析人员之间共享代码注释工作很有趣。

又一次:我不是在寻找静态代码分析工具,而是在寻找可以帮助审阅者进行手动审阅的工具,使浏览代码、编写和与其他团队成员共享评论、跟踪报道变得更容易审查等...

2个回答

我建议看一下Agnitio,这听起来很适合您尝试做的事情。另一个选择可能是Dradis,尽管它更像是一个通用的信息共享/组织工具。

RATS是在应用程序中寻找候选点的开源祖父

对于 PHP 源代码分析,RIPS比 pixy 好很多。它比 RATS 更新和先进得多。

但实际上,grep 是首选工具。所有先进的 SCA 工具,无论它们多么昂贵,都会有误报和漏报。grep 可用于跟踪奇怪的问题,以及代码库多个部分中的相同漏洞。

其它你可能感兴趣的问题
上一篇SQL 注入 - 从页面内容中提取数据库数据 下一篇测量 SNR 以检测 Wi-Fi 网络中的干扰器