应用软件安全测试技术
原文:http://www.owasp.org.cn/OWASP-CHINA/owasp-project/5e9475288f6f4ef65b8951686d4b8bd56280672f/
本项目聚焦常见的应用软件安全测试技术,收集并整理全球范围内已知相关的OWASP工具、开源或免费工具、商业工具。
1. 静态应用安全测试(SAST)
静态应用安全测试,也称为白盒测试,通常作为代码审查的部分,并在安全开发生命周期(SDL)的实现阶段进行。静态代码分析通常是指运行静态代码分析工具,这些工具试图通过使用分析技术来突出显示“静态”(非运行)源代码中的可能漏洞。
1.1 OWASP工具
| 软件名称 | 支持语言 |
| OWASP Code Crawler | .NET, Java |
| OWASP Orizon Project | Java |
| OWASP LAPSE Project | Java |
| OWASP WAP-Web Application Protection | PHP |
1.2 其他开源或免费工具
| 软件名称 | 支持语言 |
| Agnitio | ASP, ASP.NET, C#, Java, JavaScript, Perl, PHP, Python, Ruby, VB.NET, XML |
| Brakeman | Ruby, Rails |
| DevBug | PHP |
| FindBugs | Java |
| Find Security Bugs | Java, Scala, Groovy |
| FlawFinder | C, C++ |
| Microsoft FxCop | .NET |
| .NET Security Guard | .NET, C#, VB.net |
| phpcs-security-audit | PHP |
| PMD | Java, JavaScript, Salesforce.com Apex and Visualforce, PLSQL, Apache Velocity, XML, XSL |
| Puma Scan | .NET, C# |
| Microsoft PREFast | C, C++ |
| RIPS Open Source | PHP |
| SonarCloud | ABAP, C, C++, Objective-C, COBOL, C#, CSS, Flex, Go, HTML, Java, Javascript, Kotlin, PHP, PL/I, PL/SQL, Python, RPG, Ruby, Swift, T-SQL, TypeScript, VB6, VB, XML |
| Splint | C |
| VisualCodeGrepper | C/C++, C#, VB, PHP, Java, PL/SQL |
1.3 商业工具
| 软件名称 | 支持语言 | 厂商 | 备注 |
| RIPS | Java, PHP | RIPSTECH | OWASP企业会员 |
| Fortify | ABAP/BSP, ActionScript/MXML (Flex), ASP.NET, VB.NET, C# (.NET), C/C++, Classic ASP (w/VBScript), COBOL, ColdFusion CFML, HTML, Java (including Android), JavaScript/AJAX, JSP, Objective-C, PHP, PL/SQL, Python, T-SQL, Ruby, Swift, Visual Basic, VBScript, XML | MicroFocus | |
| Veracode Static Analysis | Android, ASP.NET, C#, C, C++, Classic ASP, COBOL, ColdFusion/Java, Go, Groovy, iOS, Java, JavaScript, Perl, PhoneGap/Cordova, PHP, Python, React Native, RPG, Ruby on Rails, Scala, Titanium, TypeScript, VB.NET, Visual Basic 6, Xamarin | Veracode | OWASP企业会员 |
| CodeSonar | C, C++, Java | GrammaTech | |
| ParaSoft | C, C++, Java, .NET | ParaSoft | |
| Checkmarx CxSAST | Android, Apex, ASP.NET, C#, C++, Go, Groovy, HTML5, Java, JavaScript, JSP, .NET, Objective-C, Perl, PHP, PL/SQL, Python, Ruby, Scala, Swift, TypeScript, VB.NET, Visual Basic 6, Windows Phone | Checkmarx | OWASP企业会员 |
| IBM AppScan Source | / | IBM | |
| Coverity | Android, C#, C, C++, Java, JavaScript, Node.js, Objective-C, PHP, Python, Ruby, Scala, Swift, VB.NET | Synopsys | OWASP企业会员 |
| CodeSec | C, C++, C#, Java, JavaScript, PHP, Kotlin, Lua, Scala, TypeScript, Android | SecZone开源网安 | OWASP中国企业会员 |
2. 交互式应用安全测试(IAST)
IAST利用开发团队已经在部署过程中构建的QA测试环境来分析正在运行的应用程序的代码是否存在安全漏洞。IAST利用大量质量检查活动(例如烟,单元,功能和手动测试)来执行应用程序。
2.1 商业工具
| 软件名称 | 支持语言 | 厂商 | 备注 |
| Contrast Assess | / | Contrast | OWASP企业会员 |
| Checkmarx CxIAST | / | Checkmarx | OWASP企业会员 |
| Seeker | ASP.NET、C#、Clojure、Gosu、Groovy、Java、JavaScript(Node.js)、Scala(包括Lift)、VB.NET | Synopsys | OWASP企业会员 |
| VulHunter | Java | SecZone开源网安 | OWASP中国企业会员 |
| AAS-IAST | Java | 昂楷科技 |
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论