用于网站安全分析的 CAT.NET 替代方案

Question

我正在寻找 CAT.NET 用于对 .NET 代码执行静态安全扫描。目前，CAT.NET 工具/开发正处于一个脆弱的阶段，无法提供我所寻求的可靠性。

是否有其他静态代码分析器可用于检测安全问题？

Answer 1

查看 FxCopy、StyleCop、CodeIt.Right、Coverity，还有来自 red-gate.com 的一个发现异常处理较弱的工具。另请查看 DevPartner Studio。谷歌搜索链接。

Answer 2

您现在应该发现 CAT.NET 的状态要好得多。它已从头开始重写，并将于今年晚些时候随 Visual Studio 2010 一起发布。

在查看其他代码审查工具之前，值得考虑一下您在过程间或过程内静态分析或黑盒 HTTP 扫描器（不对代码进行操作）方面正在寻找什么。

所有这些工具可能只能发现 25-50% 的安全问题（这是来自构建 CAT.NET 团队的负责人）。他们只能发现某些类型的问题。