我参加了一个名为“安全代码”级,并在我们的下一个任务,我们应该做的一些C文件和JavaEE的Web项目的静态/动态分析。静态/动态源代码分析
我签出“源监视器”,并运行它的C文件,但(除非我没有得到如何使用它!)它似乎并没有做什么我要找的。
考虑到这个话题,我很想知道是否有用于检测“不安全”代码的工具,即可能通过缓冲区溢出,SQL注入,XSS进行攻击的代码......所以我希望它指出哪些功能应该是“升级”(例如与fgets而不是得到,或一个PreparedStatement来代替普通的SQL语句)
注:我更喜欢开源软件,有可能为Windows(我有Ubuntu的一个虚拟机,但我不太擅长它......我通常花费更多时间来找出如何配置工具而不是运行它们)。
谢谢您的建议!
[制动手(http://brakemanscanner.org/)这是否为Rails应用程序,但一些预警类型是相当普遍的。 – sczizzo 2012-07-06 18:07:26