NIST SAMATE-源代码安全分析器

2020-09-18 01:40:10

内存泄漏、缓冲区问题、安全问题和算法问题等缺陷,加上SQL注入、跨站脚本、敏感数据暴露和其他潜在问题。

许多类似lint的检查加上内存泄漏、潜在的空指针取消引用、文件路径的污染数据,等等。

Java、JavaScript、PHP、C#、VB.NET、VB6、ASP.NET、C/C++、Apex、Ruby、Perl、Objective-C、Python、Groovy、HTML5、SWIFT、APEX、J2SE、J2EE。

所有OWASP Top 10和SANS 25漏洞、符合PCI-DSS、HIPAA和MISRA要求以及自定义查询,所有这些都具有较低的误报率,并且易于在整个SDLC中集成。

删除死代码,检查语法、变量引用和类型,并就常见的JavaScript陷阱发出警告。

检测未初始化的数据、指针误用、缓冲区溢出、数字溢出、被零除、死代码、并发故障(争用条件)、未使用的变量等。

缺陷和安全漏洞-减少误报,同时将误报的可能性降至最低。

指向超出作用域的变量的指针、边界、类(缺少构造函数、未使用的私有函数等)、异常安全、内存泄漏、无效的STL使用、Sprintf中的重叠数据、被零除、空指针取消引用、未使用的结构成员、按值传递参数等。旨在避免误报。

用户定义的类型使用类型限定符扩展了C类型系统,以执行污点分析。

Java for android、javascript、jsp、type cript、vbscript、scala、html5、php、python、groovy、kotlin、go、ruby、С#、C/C++、Objective-C、SWIFT、ABAP、APEX、SOLIDITY、VYPER、PL/SQL、T-SQL、Visual basic6.0、Delphi、COBOL、1С、vba、asp.net、perl、rust。

DerScanner是一个静态应用程序代码分析器,能够识别漏洞和后门程序(未记录的功能)。它的显著特点是不仅可以分析源代码,还可以分析可执行文件(即二进制文件)。旨在检测几乎所有导致漏洞的已知缺陷。

空指针引用、同步错误、恶意代码漏洞等,可用于分析任何其他JVM语言,而FindBugs的最新版本发布于2015年3月(相比之下,SpotBugs正在积极开发中)。

使用更多安全检测器(命令注入、XPath注入、SQL/HQL注入、加密漏洞等)扩展SpotBugs。

使用有风险的函数、缓冲区溢出(strcpy())、格式字符串([v][f]printf())、争用条件(access()、chown()和mktemp())、外壳元字符(exec())和糟糕的随机数(Random())。

ASP.NET、C、C++、C#和其他.NET语言、SWIFT、COBOL、Java、JavaScript/Ajax、JSP、PHP、PL/SQL、Python、T-SQL、XML和其他语言。

MISRA、AUTOSAR、缓冲区溢出、未经验证的用户输入、SQL注入、路径注入、文件注入、跨站脚本、信息泄漏、弱加密和易受攻击的编码做法,以及质量、可靠性和可维护性问题。

ABAP、ActionScript、ASP.NET、C/C++、C#、Cobol、HTML、Java、Javascript、JSP、Objective-C、PHP、PowerScript、Python、RPG、VB6、VB.net。

OWASP会员,CWE认证,完全符合SANS 25、PCI-DSS、HIPAA、WASC、MISRA-C、BIZEC、ISO 25000、ISO9126、CERT-C、CERT-J。超过4500条规则,包括:SQL注入、加密和随机性、文件处理、信息泄漏、数字处理、控制流管理、初始化和关闭、设计错误、系统元素隔离、错误处理和故障隔离、指针和引用处理、错误配置、权限、特权和访问控制、缓冲区处理。

帮助审核Java J2EE应用程序以查找Web应用程序中发现的常见类型的安全漏洞。

";运行时和静态错误检测...。超过250种类型的错误,其中包括80多种运行时错误...。模块间不一致";

针对Android应用程序(APK文件)的基于静态SaaS的漏洞扫描程序,支持用Java和Kotlin编写的应用程序。还允许集成到DevOps流程中。

静态和动态内存问题(空指针、内存泄漏、缓冲区问题…)等缺陷。以及数据流、并发性、安全性(密码学、受污染的数据)问题。该产品还检查是否违反编码规则,并计算代码度量。

证明没有运行时错误,检测死代码。该产品还检查是否违反编码规则,并计算代码度量。

安全漏洞,包括XSS、SQL注入、代码注入等。源、接收器、杀菌器和验证器是用户可配置的。

安全漏洞,重点关注Web应用程序漏洞,包括SQL注入、远程代码执行、资源注入、命令注入、XML外部实体、XSS等等。

PVS-Studio是一个用于检测用C、C++、C#和Java编写的程序源代码中的错误和安全漏洞的工具。它可以在Windows、Linux和MacOS环境下的64位系统下运行,可以分析针对32位、64位和嵌入式ARM平台的源代码。

一套静态分析工具,包含1400多条消息。检测各种问题,从未定义的语言功能到冗余或无法访问的代码。

命令注入、XPath注入、SQL注入、加密漏洞等。软件即服务(SaaS),能够集成到GitHub和其他代码库。

扫描50个可读性或可移植性问题或可疑构造,例如条件(IF)中不同数量的";new";和";delete";关键字或赋值运算符(=)。

特定于语言的分析,以检测PCI DSS、OWASP Top 10、ASV、SANS 25、CWE中列出的复杂安全漏洞、代码质量问题和错误配置。集成到CI/CD、IDE、内部版本、错误跟踪器和其他工具中。

SQL注入、跨站点脚本(XSS)、CSRF、加密漏洞、硬编码密码等。它将发现漏洞,并在某些情况下建议自动修复。

简单的脚本会在简化的代码表示中查找问题。主要用于Linux内核代码