目前市面上的代码分析工具很多,但昂贵的成本对于初创公司和个人来说有些难以承受。但以下免费静态分析工具可以帮助您。1.DeepCode作为一个代码分析工具,DeepCode利用人工智能帮助清理代码。主要功能是检查代码并突出显示可能存在安全漏洞的部分。使用DeepCode工具,我们可以在达到关键安全级别之前分析用户输入处理。因此,当任何数据在没有安全验证或卫生的情况下从一个点移动到另一个点时,该工具会将其标记为已污染并警告您。可以标记的问题包括跨站点脚本、SQL注入威胁、远程代码执行和路径遍历攻击。2.RIPSRIPS通过标记和解析所有源代码文件来自动检测PHP应用程序中的漏洞。它能够将PHP源代码转换为程序模型,检测敏感的接收器,即可能在程序流程中被用户输入污染的潜在易受攻击的功能。只有它才能以极高的准确性检测出嵌套在代码最深处的最复杂的安全漏洞,使其成为分析代码的最佳选择。3.FlawfinderFlawfinder是初学者的绝佳工具。可以在短时间内检查效率高、命中密度高的大型程序。它扫描C或C++源代码以快速识别可能的安全漏洞并生成按风险级别排序的报告。作为开源软件,它可以在程序广泛发布之前快速发现和消除潜在的安全问题。4.BrakemanBrakeman是一个静态代码分析器,可以扫描程序中的开源代码漏洞。它可以在开发过程的任何阶段扫描Rails应用程序代码以发现安全问题。由于该工具能够查看应用程序的源代码,因此无需设置整个应用程序堆栈即可使用它。Brakeman扫描应用程序代码后,会针对任何安全问题生成详细报告。而且它的每一项检查都是独立进行的,灵活性非常强。5.FortifyFortify专注于扫描代码库中的安全漏洞。它几乎涵盖所有编程语言,为您提供解决漏洞的建议,并可轻松与流行的CI/CD工具集成。它着重于已知的安全漏洞以及可能有问题的任何恶意软件或损坏文件的存在。
