① 當前市面上的代碼審計工具哪個比較好
第一類:Seay源代碼審計系統
這是基於C#語言開發的一款針對PHP代碼安全性審計的系統,主要運行於Windows系統上。這款軟體能夠發現SQL注入、代碼執行、命令執行、文件包含、文件上傳、繞過轉義防護、拒絕服務、XSS跨站、信息泄露、任意URL跳轉等漏洞,基本上覆蓋常見的PHP漏洞。在功能上,它支持一鍵審計、代碼調試、函數定位、插件擴展、自定會規則配置、代碼高亮、編碼調試轉換、資料庫執行監控等數十項強大功能。
第二類:Fortify SCA
Fortify
SCA是由惠普研發的一款商業軟體產品,針對源代碼進行專業的白盒安全審計。當然,它是收費的,而且這種商業軟體一般都價格不菲。它有Windows、Linux、Unix以及Mac版本,通過內置的五大主要分析引擎對應用軟體的源代碼進行靜態分析。
第三類:RIPS
RIPS是一款基於PHP開發的針對PHP代碼安全審計的軟體。另外,它也是一款開源軟體,由國外安全研究員開發,程序只有450KB,目前能下載到的最新版本是0.54,不過這款程序已經停止更新了。它最大的亮點在於調用了PHP內置解析器介面token_get_all,並且使用Parser做了語法分析,實現了跨文件的變數及函數追蹤,掃描結果中非常直觀地展示了漏洞形成及變數傳遞過程,誤報率非常低。RIPS能夠發現SQL注入、XSS跨站、文件包含、代碼執行、文件讀取等多種漏洞,文件多種樣式的代碼高亮。