本文转载自微信公众号《旁路》,作者旁路。转载本文请联系旁路公众号。SAST,即静态应用安全测试,通过静态代码分析工具自动检测源代码,从而快速发现源代码中的安全缺陷。本文是静态源代码分析工具的列表。它收集了一些免费和开源的项目。您可以从检测效率、支持的编程语言、第三方工具集成等几个方面综合考虑如何选择SAST工具。1、RIPS是一个很好的静态源代码分析工具,主要用来挖掘PHP程序的漏洞。项目地址:http://rips-scanner.sourceforge.net2、企业级源码静态分析工具SonarQube,支持Java、PHP、C#、Python、Go等27种编程语言,并且可以集成到IDE、Jenkins、Git等服务中。项目地址:https://www.sonarqube.org3、CodeQL,一个免费开源的语义代码分析引擎和查询工具,以一种非常新颖的方式组织代码和元数据,可以像SQL查询一样检索代码并找到其中之一安全问题。Git项目地址:https://github.com/github/codeql-cli-binaries4,FindSecurityBugs是一款用于JavaWeb应用安全审计的SpotBugs插件。项目地址:https://find-sec-bugs.github.io/5,VCG(VisualCodeGrepper)是C++、C#、VB、PHP、Java、PL/SQL和COBOL的自动化代码安全审查工具。项目地址:https://sourceforge.net/projects/visualcodegrepp/6。FindBugs是一个静态分析工具,可以检查程序中潜在的bug,并在bug报告中快速定位有问题的代码。项目地址:http://findbugs.sourceforge.net7,Cobra是一款源代码安全审计工具,支持检测多种开发语言源代码中最重大的安全问题和漏洞。项目地址:https://github.com/WhaleShark-Team/cobra8,Hades是一个静态代码漏洞检测系统,支持java源码审计项目地址:https://github.com/zsdlove/Hades9,Bandit是一个专门的用于查找Python代码中常见安全问题的工具。github项目地址:https://github.com/PyCQA/bandit10,Brakeman是一款专门为RubyonRails应用设计的免费漏洞扫描器。它静态分析Rails应用程序代码以发现任何开发阶段的安全问题。项目地址:https://brakemanscanner.org
