代码审计

代码审计的几个问题

• 为什么要进行代码审计
• 如何把代码审计融入整体的DevOps流程中
• 覆盖率、漏报率、误报率、处理率如来平衡
• 如何处理代理审计中的误报、漏报
• 谁来看代码审计报告、审计的问题如何推动修复

开源&免费代码审计

cobra

cobra：静态代码分析工具。

github地址

安装文档

• cobra安装

# 解决依赖
yum install flex bison phantomjs -y

# 安装
git clone https://github.com/WhaleShark-Team/cobra.git && cd cobra
pip install -r requirements.txt
python cobra.py --help

• cobra规则

cobra/rules  # 默认自带规则

rats

官网地址

findbugs

findbugs：插件式静态分析工具。

官网地址

下载地址

• findbugs安装

直接在开发工具的插件中进行安装，或者下载以后导入。

rips

rips：静态深度分析源代码漏洞的工具，能自动化挖掘PHP代码漏洞。

下载地址

• 安装与使用

yum install php httpd.x86_64 -y
systemctl start httpd.service

wget https://nchc.dl.sourceforge.net/project/rips-scanner/rips-0.55.zip

unzip rips-0.55.zip

# 填写源代码路径就可以开始扫描了

• 心得

对PHP项目支持比较友好，其它语言审计效果一般；
与seay法师的审计工具很类似；

• 参考资料

RIPS源码精读：逻辑流程及lib文件夹大致说明

RIPS源码精读：扫描对象的实例化及token信息的生成

vcg

VCG：简洁的风险函数扫描定位工具，基于字典实现扫描功能。

下载地址

代码审计商业软件对比

备注：如果图片有侵权行为，请联系我！