从前几天开始,我一直在为ColdFusion寻找静态代码分析工具。直到现在我还没有一个好的。我找到了两个。是否有可用于ColdFusion的可靠静态代码分析工具?
从YASCA我只得到XSS警报和一些警报会议MGMT,没有什么比这更。我已经尝试过整个项目。 我甚至无法使用ColdFusion10正确安装cf-metrics,将所需的jar文件放入lib文件夹后,由于某些isapi重定向isse,我无法访问我的IIS站点 。
还有其他工具吗?
我在过去看过几次,因为我维护一个大型的CF应用程序。
每次我看,我都找不到合适的东西。我花了一段时间来研究使用Railo CFML解析器(因为它是开源的)来构建自己的东西,并在当时得出结论,这是可能的,但这不是一项小任务。
您可能能够重新检查Railo方法,但将Rail从Rail中提供到现有的代码分析工具中。我从来没有那么远,但可能在一定程度上。
我很喜欢听到不同的声音,但简短的回答是,那里没有多少东西。
如果你还在寻找一个ColdFusion Linter,我会推荐CFLint。它托管在GitHub和Maven上。解析器已更新为使用ANTLR4,因此它比以前的版本要快得多。我们也比JSLint更容易定制。
现在(2017)的选项似乎是CFLint和非自由的安全代码分析器,它不幸地作为CF Builder IDE的一部分运行:https://helpx.adobe.com/coldfusion/2016/security-enhancements.html - 我正在考虑构建一个SAST解决方案。 – Leo