我正在一家小型软件公司建立软件安全计划。其中一部分是选择一种静态分析工具,用于早期和自动检测安全漏洞。
许多语言都有几种现有的静态分析工具。我们的后端语言 C# 有很多,例如HP Fortify或Checkmarx CxSuite等等。
其中许多工具还扫描浏览器中的 JavaScript 代码。他们检查常见的事情,如跨站点脚本 (XSS) 和跨站点请求伪造(CSRF 或 XSRF)攻击。他们甚至了解 JQuery 和较旧的 JavaScript 库。
但是,我一直找不到查看 JavaScript MVC 框架的静态分析工具。我们正在使用的 JavaScript 框架AngularJS缓解了许多常见的安全漏洞(例如许多通过数据绑定进行的 DOM 注入攻击),但针对其他漏洞提供了不同的解决方案(例如其自身的 XSRF 保护机制)。
有哪些支持 AngularJS 网站的静态分析工具?成本与其说是一个问题,不如说是一套好的规则。AngularJS 特定或 JavaScript 特定的工具也很好。
铭记于心:
- 此静态分析工具不能替代手动或渗透测试。这将在稍后出现,但静态分析工具允许在编写代码时立即发现问题,而不是在产品完成时接近尾声。虽然我与优秀的开发人员一起工作,但他们并不是安全专家。代码库越来越大(100K+ 行),我个人无法审查每一个更改。
- 许多静态分析工具允许创建新规则,我很高兴这样做。但是,我的重点是交付软件,而不是创建和调试基本的安全检查。