- 1软件测试工程师--面试题_uftuif
- 2用Python 开发植物大战僵尸游戏_python中怎么做植物大战僵尸
- 3在MAC系统中使用mysql,出现mysql: command not found的情况_command not found: mysql
- 4【点云论文速读】6D位姿估计
- 5共识问题:区块链如何确认记账权?_区块链候选记账权
- 6python sys os time random模块_pycharm安装sys os time 模块
- 7Git重修系列 ------ Git的使用和常用命令总结
- 8uniapp tabBar角标问题_uniapp再tabbar上添加动态的数字角标
- 915个超实用Python文本处理案例分享,快点码住!_python关于文件经典例子
- 10auditd 用户审计详解
源代码分析工具_代码解析工具
赞
踩
| 名字/链接 | 所有者 | 许可 | 平台 | 描述 |
| 开源或免费 | .NET、C\#、VB.net | |||
| 商业的 | REST API 安全平台,包括安全审计 (SAST)、动态一致性扫描、运行时保护和监控。 | |||
| 开源或免费 | Windows | ASP、ASP.NET、C\#、Java、Javascript、Perl、PHP、Python、Ruby、VB.NET、XML | ||
| 开源或免费 | OpenAPI/Swagger 文件静态安全分析在线工具 | |||
| Positive Technologies | 商业的 | 结合了SAST、DAST、IAST、SCA、配置分析等技术,包括。独特的抽象解释;能够生成测试查询(漏洞利用)以在 SAST 分析期间验证检测到的漏洞;支持的语言包括:Java、C\#、PHP、JavaScript、Objective C、VB.Net、PL/SQL、T-SQL 等。 | ||
| Guardsquare | 开源或免费 | 软件即服务 | 支持 CI/CD 集成的已编译 Android 应用程序的移动应用程序安全测试工具 | |
| AWS | 开源或免费 | ASH 是安全扫描仪的一站式商店,不需要任何安装。它将识别不同的框架,并下载相关的最新工具。ASH 在隔离的 Docker 容器上运行,保持用户环境清洁,并提供单一聚合报告。支持以下框架:Git、Python、Javascript、Cloudformation、Terraform 和 Jupyter。 | ||
| 开源或免费 | Bandit 是一个全面的 Python 源漏洞扫描器 | |||
| Bearer | 商业的 | SaaS 或本地 | 映射敏感数据流并识别安全风险,例如未经授权的数据流、缺少加密、未经授权的访问等。 | |
| Marcin Kozlowski | 开源 | 使用多种工具进行代码扫描/SAST/静态分析/Linting/带有一份报告的扫描仪。目前支持:PHP、Java、Scala、Python、Ruby、Javascript、GO、秘密扫描、依赖混淆、特洛伊木马源代码、开源和专有检查(总共约 1000 次检查)。还支持微分分析。目标是使用许多工具/扫描仪生成一份报告 | ||
| Beyond Security | 商业的 | 静态应用程序安全测试 (SAST) 曾经与代码质量审查分离,导致影响和价值有限。beSOURCE 解决应用程序的代码安全质量问题,从而将 SecOps 集成到 DevOps 中。 | ||
| BlueClosure | 商业的 | 分析客户端 JavaScript。 | ||
| 开源或免费 | Brakeman 是专为 Ruby on Rails 应用程序设计的开源漏洞扫描程序 | |||
| Nalbatech, Formerly Buguroo | 商业的 | |||
| 商业的 | 执行静态和架构分析以识别多种类型的安全问题。支持超过 30 种语言。[AIP 的安全特定覆盖范围在这里](https://www.castsoftware.com/solutions/application-security/cwe#SupportedSecurityStandards)。 | |||
| clj-holmes | 开源 | Linux 和 MacO | 一个 CLI SAST(静态应用程序安全测试)工具,旨在通过使用简单模式语言的规则来查找易受攻击的 Clojure 代码。 | |
| CloudDefense | 商业的 | SaaS 或本地 | CloudDefense 提供跨所有攻击面的整体威胁情报 - 容器、Kubernetes、代码、开源库、API 等等…… | |
| 商业的 | 为 Python、Ruby、Scala、Java、JavaScript 等语言提供安全模式。与 Brakeman、Bandit、FindBugs 等工具集成。(开源项目免费) | |||
| 商业的 | 一个专注于 Salesforce 的 SaaS 代码质量工具,利用 SonarQube 的 OWASP 安全热点提供 Apex、Visualforce 和 Lightning 专有语言的安全可见性。 | |||
| GrammaTech | 商业的 | 支持 C、C++、Java 和 C# 并针对 OWASP 十大漏洞进行映射的工具。 | ||
| Codiga | 商业的 | SaaS 或本地 | Codiga 会扫描您的代码,并在每次推送或拉取请求时发现代码中的安全性、安全性、设计、性能和可维护性问题。它与 GitHub、GitLab 和 Bitbucket 集成。 | |
| Heinle Solutions Inc. | 商业的 | SaaS 或本地 | 用于基础架构配置分析的 SAST 工具。支持常见的 Web 服务器、数据库、流服务、身份验证服务、容器编排和基础设施即代码工具。 | |
| 商业的 | 对比执行代码安全性而不实际进行静态分析。Contrast 进行交互式应用程序安全测试 (IAST),关联运行时代码和数据分析。它提供了代码级别的结果,而实际上并不依赖于静态分析。 | |||
| Synopsys | 商业的 | Apex、C/C++、C#、CUDA、Java#、JavaScript、PHP、Python、.NET Core、ASP.NET、Objective-C、Go、JSP、Ruby、Swift、Fortran、Scala、VB.NET、iOS、Android , 打字稿, Kotlin | ||
| Checkmarx | 商业的 | Saas 或本地。具有 CI/CD 和 IDE 插件集成的 Windows 和 Linux | 运行完整或增量源代码安全扫描。支持的语言包括 Javascript、Java、Apex、PHP、Python、Swift、Scala、Perl、Groovy、Ruby、C++、C#.NET、PL/SQL、VB.NET、ASP.NET、HTML 5、Windows Mobile、Go 和科特林。 | |
| 开源或免费 | Dawnscanner 是一个开源的 Ruby 安全源代码分析器,支持主要的 MVC 框架,如 Ruby on Rails、Padrino 和 Sinatra。它也适用于用 Ruby 编写的非 Web 应用程序。 | |||
| 开源或免费 | 字节码分析工具,用于发现 Java 部署(EAR、WAR、JAR)中的漏洞。 | |||
| DeepSource Corp. | 商业的 | SaaS 或本地 | DeepSource 通过强大的静态分析、OWASP Top 10 合规性和 Autofix 帮助公司发布干净、安全的代码。支持所有主要的编程语言。 | |
| DerScanner Ltd. | 商业的 | 能够通过分析源代码或可执行文件来识别 30 多种编程语言中的漏洞和后门(未记录的功能),而无需调试信息。 | ||
| 开源或免费 | 基于网络 | PHP | ||
| VoidSec | 商业的 | SaaS TCL 静态源代码分析工具能够检测 TCL/ADP 源代码中真实和复杂的安全漏洞。发现的漏洞将根据 OWASP 前 10 个漏洞进行映射。 | ||
| Enlightn Software | 开源 | Enlightn 是专为 Laravel PHP 应用程序设计的漏洞扫描程序,它结合了 SAST、DAST、IAST 和配置分析技术来检测漏洞。 | ||
| 开源或免费 | Java、Scala、Groovy | |||
| 开源或免费 | 查找 Java 程序中的错误(包括一些安全漏洞)[Legacy - NOT Maintained - Use SpotBugs (see other entry) instead] | |||
| 开源或免费 | SpotBugs 的安全特定插件,显着提高了 SpotBugs 在 Java 程序中发现安全漏洞的能力。也适用于旧的 FindBugs。 | |||
| 开源或免费 | 扫描 C 和 C++。 | |||
| Fluid Attacks | 开源 | SAST、DAST 和 SCA 漏洞检测工具,具有完美的 OWASP 基准分数。 | ||
| Micro Focus | 商业的 | Windows、Linux 和 MacOSX | 提供免费试用扫描。支持的语言包括:ABAP/BSP、ActionScript/MXML (Flex)、APEX、ASP.NET、VB.NET、C\# (.NET)、C/C++、Classic ASP (w/VBScript)、COBOL、ColdFusion CFML、 Go、HTML、Java(包括 Android)、JavaScript/AJAX、JSP、Kotlin、Objective-C、PHP、PL/SQL、Python、Typescript、T-SQL、Ruby、Scala、Swift、Visual Basic (VB.NET)、 Visual Basic 6、VBScript、XML | |
| 商业的 | SaaS 或本地 | 通过私有或公共源代码的自动秘密检测和修复来保护您的软件开发。 | ||
| GitHub | 开源或免费 | SaaS 或本地 | GitHub Advanced Security 使用 CodeQL 进行静态代码分析,使用 GitHub Secret Scanning 来识别令牌。GitHub代码扫描可以从任何其他SAST工具导入SARIF | |
| GitLab | 商业的 | 软件即服务、Linux、Windows | ||
| 开源或免费 | Go Linters 聚合器 - 其中一个 Linter 是 [gosec (Go Security)](https://github.com/securego/gosec),默认情况下它是关闭的,但可以轻松启用。 | |||
| 开源或免费 | 使用 Google Code Search 来识别由 Google Code、MS CodePlex、SourceForge、Github 等托管的开源代码项目中的漏洞。该工具带有超过 130 个默认搜索,可识别 SQL 注入、跨站点脚本 (XSS)、不安全的远程和本地文件包含、硬编码密码等等。*从本质上讲,Google CodeSearchDiggity 提供了几乎所有现有开源代码项目的源代码安全分析——同时进行。* | |||
| 开源或免费 | Linux | 扫描多种语言以查找各种安全漏洞。基本上是安全增强代码Grep。 | ||
| HCL Software | 开源或免费 | 使用 GitHub 操作扫描推送/拉取请求中的新代码。发现在“文件已更改”视图中突出显示,有关问题和缓解步骤的详细信息可以在“操作”页面中找到。免费试用帐户允许无限制使用。该工具目前支持 Python、Ruby、JS(Vue、React、Node、Angular、JQuery 等)、PHP、Perl、COBOL、APEX 等等。 | ||
| HCL Software | 开源或免费 | 这是 AppScan 的第一个社区版版本。它以 VS Code [HCL AppScan CodeSweep - Visual Studio Marketplace] 和 JetBrains [HCL AppScan - IntelliJ IDEs Plugin | Marketplace](IntelliJ IDEA、CLion、GoLand、PhpStorm、PyCharm、Rider、RubyMine、WebStorm ) 插件并在保存文件时对其进行扫描。结果显示发现的位置、类型和补救建议。该工具目前支持 Java、.Net、Go、Python、Ruby、JS(Node、Angular、JQuery 等)、PHP、Perl、COBOL、APEX 等等。一些问题的自动修复可通过免费试用获得。 | ||
| HCL Software | 开源或免费 | Apex、ASP、C、C++、COBOL、ColdFusion、Go、Java、JavaScript(客户端 JavaScript、Kotlin、NodeJS 和 AngularJS)、.NET(C#、ASP.NET、VB.NET)、.NET Core、Perl , PHP, PL/SQL, Python, Ruby, T-SQL, Swift, Visual Basic 6 | ||
| HCL Software | 商业的 | Android、Apex、ASP、C、C++、COBOL、ColdFusion、Go、Java、JavaScript(客户端 JavaScript、NodeJS 和 AngularJS)、.NET(C#、ASP.NET、VB.NET)、.NET Core、Perl , PHP, PL/SQL, Python, Ruby, T-SQL, Visual Basic 6 | ||
| Hdiv Security | 商业的 | Hdiv 无需实际进行静态分析即可执行代码安全性。Hdiv 进行交互式应用程序安全测试 (IAST),关联运行时代码和数据分析。它提供代码级结果,而实际上并不依赖于静态分析。 | ||
| 开源或免费 | C#、Java、Kotlin、Python、Ruby、Golang、Terraform、Javascript、Typescript、Kubernetes、PHP、C、HTML、JSON、Dart、Elixir、Shell、Nginx、Swift | |||
| 开源或免费 | HuskyCI 是一个开源工具,可在多个项目的 CI 管道内编排安全测试,并将所有结果集中到数据库中以供进一步分析和衡量。HuskyCI 可以在 Python (Bandit and Safety)、Ruby (Brakeman)、JavaScript (Npm Audit and Yarn Audit)、Golang (Gosec) 和 Java (SpotBugs plus Find Sec Bugs) 中执行静态安全分析 | |||
| InsiderSec | 开源或免费 | 一个开源静态应用程序安全测试工具 (SAST),用 GoLang 编写,用于 Java Maven 和 Android)、Kotlin (Android)、Swift (iOS)、.NET Full Framework、C# 和 Javascript (Node.js)。 | ||
| a division of Idera, Inc. | 商业的 | 提供应用程序安全测试和分析平台(包括 SAST 和 SCA 解决方案),以降低风险并改进变更管理和 DevOps 流程 | ||
| Perforce | 商业的 | C、C++、C#、Java、JavaScript、Python、Kotlin 的静态代码分析 | ||
| 商业的 | C、C++ | |||
| 开源或免费 | 一种免费的开源静态分析服务,可自动监控对 Bitbucket Cloud、GitHub 或 GitLab 中可公开访问的代码的提交。支持 C/C++、C\#、Go、Java、JavaScript/TypeScript、Python。 | |||
| Mend | 商业的 | 27 多种语言的静态安全分析。 | ||
| 开源或免费 | .NET | |||
| 开源或免费 | C、C++ | |||
| 开源或免费 | 移动安全框架 (MobSF) 是一种自动化的一体化移动应用程序 (Android/iOS/Windows) 渗透测试、恶意软件分析和安全评估框架,能够执行静态和动态分析。 | |||
| 开源或免费 | Windows,Unix | Android Java、Objective C、Swift | ||
| ShiftLeft | 商业的 | 软件即服务 | 提供免费版本。目前支持 Java、JavaScript、C#、TypeScript、Python 和 Terraform。在 ShiftLeft 创建您的免费帐户。 | |
| 开源或免费 | Unix | Node.js | ||
| Nucleaus | 商业的 | 软件即服务 | 每天扫描 Git 存储库并提供基于 Web 的仪表板来跟踪代码和依赖项漏洞。处理基于团队的访问模式、漏洞异常生命周期,并建立在 API 第一原则之上。 | |
| 商业的 | SAST 技术,从各个角落攻击源代码,它一应俱全。恶意软件、SCA、许可证和深度源代码分析。 | |||
| Oversecured Inc | 商业的 | iOS、安卓 | 适用于 Android 和 iOS 应用程序的企业漏洞扫描程序。它通过将 Oversecured 集成到开发过程中,使应用程序所有者和开发人员能够保护移动应用程序的每个新版本。 | |
| Tarik Seyceri & OWASP | 开源或免费 | Ubuntu、MacOSX 和 Windows | 一个开源的源代码扫描工具,使用 JavaScript(Node.js 框架)开发,根据 OWASP Top 10 和其他一些 OWASP 的著名漏洞扫描 PHP 和 MySQL 安全漏洞,并教开发人员如何在扫描后保护他们的代码. | |
| OWASP | 开源 | .NET、Java | ||
| OWASP | 开源 | java | ||
| OWASP | 开源 | java | ||
| OWASP | 开源 | PHP | ||
| 开源或免费 | C、C++、Java、.NET | |||
| Parasoft | 商业的 | 用于 C/C++、.NET、Java 的测试工具 | ||
| 开源或免费 | 一组 PHP_CodeSniffer 规则,用于查找与 PHP 及其流行的 CMS 或框架中的安全性相关的缺陷或弱点。它目前具有核心 PHP 规则以及 Drupal 7 特定规则。 | |||
| PITTS | 商业的 | 扫描 Oracle Forms and Reports 应用程序 | ||
| 开源或免费 | PMD 扫描 Java 源代码并寻找潜在的代码问题(这是一个不关注安全问题的代码质量工具)。 | |||
| 商业的 | C、C++、Ada | |||
| Microsoft | 开源或免费 | PREfast 是一个静态分析工具,用于识别 C/C++ 程序中的缺陷。上次更新 2006 年。 | ||
| 开源或免费 | Progpilot 是一个用于 PHP 的静态分析工具,用于检测 XSS 和 SQL 注入等安全漏洞。 | |||
| Vimeo, Inc. | 开源 | PHP 项目的静态代码分析,用 PHP 编写。 | ||
| Positive Technologies | 商业的 | 结合 SAST、DAST、IAST、SCA、配置分析和其他技术以实现高精度。可以生成特殊的测试查询(漏洞利用)来验证 SAST 分析期间检测到的漏洞。支持 Java、C\#、PHP、JavaScript、Objective C、VB.Net、PL/SQL、T-SQL 等。 | ||
| Puma Security | 商业的 | 作为 Visual Studio IDE 扩展、Azure DevOps 扩展和命令行 (CLI) 可执行文件运行的 .NET C\# 静态源代码分析器。 | ||
| 开源或免费 | .NET,C\# | |||
| 开源或免费 | C、C++、C\# | |||
| PVS-Studio | 商业的 | 针对 C、C++、C# 和 Java 的静态代码安全分析。一种商业 B2B 解决方案,但提供了几个免费的 [许可选项](https://www.viva64.com/en/b/0614/)。 | ||
| 开源或免费 | Python 3 的高性能类型检查器,还具有 [有限的安全性/数据流分析](https://pyre-check.org/docs/pysa-basics.html) 功能。 | |||
| 商业的 | 一种用于 Java 的 CI/CD 静态代码安全分析工具,它使用机器学习来预测误报。 | |||
| Synopsys | 商业的 | 自动扫描代码以查找不安全的编码和配置,作为 Eclipse、IntelliJ 和 Visual Studio 等的 IDE 插件。支持 Java、.NET、PHP 和 JavaScript。 | ||
| 开源或免费 | .NET 的静态代码分析器。它会发现 SQL 注入、LDAP 注入、XXE、密码学弱点、XSS 等。 | |||
| Synopsys | 商业的 | Seeker 无需实际进行静态分析即可执行代码安全性。Seeker 进行交互式应用程序安全测试 (IAST),将运行时代码和数据分析与模拟攻击相关联。它提供了代码级别的结果,而实际上并不依赖于静态分析。 | ||
| 开源或免费 | 多种语言的轻量级静态分析。查找具有类似于源代码的模式的错误变体。无需编译即可扫描源代码。支持 Go、Java、JavaScript、JSON、Python、TypeScript 等。 | |||
| Whitehat | 商业的 | 10 多种语言的静态安全分析。 | ||
| 开源或免费 | 一个免费的开源 DevSecOps 平台,用于检测源代码和依赖项中的安全问题。它通过将各种开源扫描程序捆绑到管道中来支持广泛的语言和 CI/CD 管道。 | |||
| 开源或免费 | Java 字节码静态代码分析器,用于执行源/接收器(污点)分析。 | |||
| Snyk Limited | 商业或免费 | SaaS、IDE 插件 | 查找、学习和修复开源依赖项、应用程序代码、容器映像或 Terraform 和 Kubernetes 中的不安全配置中的漏洞。 | |
| 开源或免费 | ABAP、C、C++、Objective-C、COBOL、C\#、CSS、Flex、Go、HTML、Java、Javascript、Kotlin、PHP、PL/I、PL/SQL、Python、RPG、Ruby、Swift、T- SQL、TypeScript、VB6、VB、XML | |||
| 开源或免费 | 扫描 15 种语言的源代码中的错误、漏洞和代码气味。[SonarLint](https://www.sonarlint.org/) 提供的用于 Eclipse、Visual Studio 和 IntelliJ 的 SonarQube IDE 插件。 | |||
| SpectralOps | 开源或免费 | 多平台和多架构。Linux/Windows/MacOSx/*nix。与编程语言无关 | 发现、分类和保护您的代码库、日志和其他资产。监控和检测 API 密钥、令牌、凭据、高风险安全错误配置等。 | |
| 开源或免费 | C | |||
| 开源或免费 | java。这是 FindBugs 的活动分支替代品,不再维护。很少有安全感。FindSecBugs 插件提供安全规则。 | |||
| Security Reviewer | 商业的 | Windows和Linux;本地和云端;桌面、CLI 和 CI/CD 和 IDE 插件集成 | Static Reviewer 使用 1000 多种内置验证规则,根据 40 多种编程语言的最相关安全编码标准执行代码检查。 | |
| SciTools | 商业的 | Windows、MacOSX、Linux | 使用图形、文档和指标提供静态代码分析的 IDE。扫描代码以检查漏洞并确保符合 MISRA 和 AUTOSAR 等标准。适用于 20 种语言,包括 C、C++、C#、JavaScript、Python 和 Java。 | |
| 开源或免费 | Android, ASP.NET, C\#, C, C++, Classic ASP, COBOL, ColdFusion/Java, Go, Groovy, iOS, Java, JavaScript, Perl, PhoneGap/Cordova, PHP, Python, React Native, RPG, Ruby on Rails、Scala、Titanium、TypeScript、VB.NET、Visual Basic 6、Xamarin | |||
| Veracode | 商业的 | |||
| 开源或免费 | Windows | C/C++、C\#、VB、PHP、Java、PL/SQL | ||
| 开源或免费 | 扫描 C/C++、C\#、VB、PHP、Java、PL/SQL 和 COBOL 以查找安全问题和可能指示有缺陷代码的注释。配置文件可用于对禁用功能或通常会导致安全问题的功能进行额外检查。 | |||
| 开源或免费 | Microsoft Visual Studio Code 的插件,可为 REST API 合约提供丰富的编辑功能,还包括 linting 和安全审计(静态安全分析)。 | |||
| Xanitizer | 商业的 | CLI 和插件集成 | 适用于 Java、Scala 和 JavaScript/TypeScript 的 SAST 工具,主要通过污点分析。根据此定价页面,如果您联系供应商,开源项目是免费的。 |
