应用软件安全测试技术

发布于 2021-10-01 22:29:47 字数 6993 浏览 1290 评论 0

原文:http://www.owasp.org.cn/OWASP-CHINA/owasp-project/5e9475288f6f4ef65b8951686d4b8bd56280672f/

本项目聚焦常见的应用软件安全测试技术,收集并整理全球范围内已知相关的OWASP工具、开源或免费工具、商业工具。

1. 静态应用安全测试(SAST)

静态应用安全测试,也称为白盒测试,通常作为代码审查的部分,并在安全开发生命周期(SDL)的实现阶段进行。静态代码分析通常是指运行静态代码分析工具,这些工具试图通过使用分析技术来突出显示“静态”(非运行)源代码中的可能漏洞。

1.1 OWASP工具

软件名称支持语言
OWASP Code Crawler.NET, Java
OWASP Orizon ProjectJava
OWASP LAPSE ProjectJava
OWASP WAP-Web Application ProtectionPHP

1.2 其他开源或免费工具

软件名称支持语言
AgnitioASP, ASP.NET, C#, Java, JavaScript, Perl, PHP, Python, Ruby, VB.NET, XML
BrakemanRuby, Rails
DevBugPHP
FindBugsJava
Find Security BugsJava, Scala, Groovy
FlawFinderC, C++
Microsoft FxCop.NET
.NET Security Guard.NET, C#, VB.net
phpcs-security-auditPHP
PMDJava, JavaScript, Salesforce.com Apex and Visualforce, PLSQL, Apache Velocity, XML, XSL
Puma Scan.NET, C#
Microsoft PREFastC, C++
RIPS Open SourcePHP
SonarCloudABAP, C, C++, Objective-C, COBOL, C#, CSS, Flex, Go, HTML, Java, Javascript, Kotlin, PHP, PL/I, PL/SQL, Python, RPG, Ruby, Swift, T-SQL, TypeScript, VB6, VB, XML
SplintC
VisualCodeGrepperC/C++, C#, VB, PHP, Java, PL/SQL

1.3 商业工具

 

软件名称支持语言厂商备注
RIPSJava, PHPRIPSTECHOWASP企业会员
FortifyABAP/BSP, ActionScript/MXML (Flex), ASP.NET, VB.NET, C# (.NET), C/C++, Classic ASP (w/VBScript), COBOL, ColdFusion CFML, HTML, Java (including Android), JavaScript/AJAX, JSP, Objective-C, PHP, PL/SQL, Python, T-SQL, Ruby, Swift, Visual Basic, VBScript, XMLMicroFocus
Veracode Static AnalysisAndroid, ASP.NET, C#, C, C++, Classic ASP, COBOL, ColdFusion/Java, Go, Groovy, iOS, Java, JavaScript, Perl, PhoneGap/Cordova, PHP, Python, React Native, RPG, Ruby on Rails, Scala, Titanium, TypeScript, VB.NET, Visual Basic 6, XamarinVeracodeOWASP企业会员
CodeSonarC, C++, JavaGrammaTech
ParaSoftC, C++, Java, .NETParaSoft
Checkmarx CxSASTAndroid, Apex, ASP.NET, C#, C++, Go, Groovy, HTML5, Java, JavaScript, JSP, .NET, Objective-C, Perl, PHP, PL/SQL, Python, Ruby, Scala, Swift, TypeScript, VB.NET, Visual Basic 6, Windows PhoneCheckmarxOWASP企业会员
IBM AppScan Source/IBM
CoverityAndroid, C#, C, C++, Java, JavaScript, Node.js, Objective-C, PHP, Python, Ruby, Scala, Swift, VB.NETSynopsysOWASP企业会员
CodeSecC, C++, C#, Java, JavaScript, PHP, Kotlin, Lua, Scala, TypeScript, AndroidSecZone开源网安OWASP中国企业会员

2. 交互式应用安全测试(IAST)

IAST利用开发团队已经在部署过程中构建的QA测试环境来分析正在运行的应用程序的代码是否存在安全漏洞。IAST利用大量质量检查活动(例如烟,单元,功能和手动测试)来执行应用程序。

2.1 商业工具

软件名称支持语言厂商备注
Contrast Assess/ContrastOWASP企业会员
Checkmarx CxIAST/CheckmarxOWASP企业会员
SeekerASP.NET、C#、Clojure、Gosu、Groovy、Java、JavaScript(Node.js)、Scala(包括Lift)、VB.NETSynopsysOWASP企业会员
VulHunterJavaSecZone开源网安OWASP中国企业会员
AAS-IASTJava昂楷科技

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。
列表为空,暂无数据

关于作者

JSmiles

生命进入颠沛而奔忙的本质状态,并将以不断告别和相遇的陈旧方式继续下去。

0 文章
0 评论
84961 人气
更多

推荐作者

醉城メ夜风

文章 0 评论 0

远昼

文章 0 评论 0

平生欢

文章 0 评论 0

微凉

文章 0 评论 0

Honwey

文章 0 评论 0

qq_ikhFfg

文章 0 评论 0

    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文