应用软件安全测试技术 - 文章教程

应用软件安全测试技术

发布于 2021-10-01 字数 7373 浏览 995 评论 0

原文:http://www.owasp.org.cn/OWASP-CHINA/owasp-project/5e9475288f6f4ef65b8951686d4b8bd56280672f/

本项目聚焦常见的应用软件安全测试技术,收集并整理全球范围内已知相关的OWASP工具、开源或免费工具、商业工具。

1. 静态应用安全测试(SAST)

静态应用安全测试,也称为白盒测试,通常作为代码审查的部分,并在安全开发生命周期(SDL)的实现阶段进行。静态代码分析通常是指运行静态代码分析工具,这些工具试图通过使用分析技术来突出显示“静态”(非运行)源代码中的可能漏洞。

1.1 OWASP工具

软件名称 支持语言
OWASP Code Crawler .NET, Java
OWASP Orizon Project Java
OWASP LAPSE Project Java
OWASP WAP-Web Application Protection PHP

1.2 其他开源或免费工具

软件名称 支持语言
Agnitio ASP, ASP.NET, C#, Java, JavaScript, Perl, PHP, Python, Ruby, VB.NET, XML
Brakeman Ruby, Rails
DevBug PHP
FindBugs Java
Find Security Bugs Java, Scala, Groovy
FlawFinder C, C++
Microsoft FxCop .NET
.NET Security Guard .NET, C#, VB.net
phpcs-security-audit PHP
PMD Java, JavaScript, Salesforce.com Apex and Visualforce, PLSQL, Apache Velocity, XML, XSL
Puma Scan .NET, C#
Microsoft PREFast C, C++
RIPS Open Source PHP
SonarCloud ABAP, C, C++, Objective-C, COBOL, C#, CSS, Flex, Go, HTML, Java, Javascript, Kotlin, PHP, PL/I, PL/SQL, Python, RPG, Ruby, Swift, T-SQL, TypeScript, VB6, VB, XML
Splint C
VisualCodeGrepper C/C++, C#, VB, PHP, Java, PL/SQL

1.3 商业工具

 

软件名称 支持语言 厂商 备注
RIPS Java, PHP RIPSTECH OWASP企业会员
Fortify ABAP/BSP, ActionScript/MXML (Flex), ASP.NET, VB.NET, C# (.NET), C/C++, Classic ASP (w/VBScript), COBOL, ColdFusion CFML, HTML, Java (including Android), JavaScript/AJAX, JSP, Objective-C, PHP, PL/SQL, Python, T-SQL, Ruby, Swift, Visual Basic, VBScript, XML MicroFocus
Veracode Static Analysis Android, ASP.NET, C#, C, C++, Classic ASP, COBOL, ColdFusion/Java, Go, Groovy, iOS, Java, JavaScript, Perl, PhoneGap/Cordova, PHP, Python, React Native, RPG, Ruby on Rails, Scala, Titanium, TypeScript, VB.NET, Visual Basic 6, Xamarin Veracode OWASP企业会员
CodeSonar C, C++, Java GrammaTech
ParaSoft C, C++, Java, .NET ParaSoft
Checkmarx CxSAST Android, Apex, ASP.NET, C#, C++, Go, Groovy, HTML5, Java, JavaScript, JSP, .NET, Objective-C, Perl, PHP, PL/SQL, Python, Ruby, Scala, Swift, TypeScript, VB.NET, Visual Basic 6, Windows Phone Checkmarx OWASP企业会员
IBM AppScan Source / IBM
Coverity Android, C#, C, C++, Java, JavaScript, Node.js, Objective-C, PHP, Python, Ruby, Scala, Swift, VB.NET Synopsys OWASP企业会员
CodeSec C, C++, C#, Java, JavaScript, PHP, Kotlin, Lua, Scala, TypeScript, Android SecZone开源网安 OWASP中国企业会员

2. 交互式应用安全测试(IAST)

IAST利用开发团队已经在部署过程中构建的QA测试环境来分析正在运行的应用程序的代码是否存在安全漏洞。IAST利用大量质量检查活动(例如烟,单元,功能和手动测试)来执行应用程序。

2.1 商业工具

软件名称 支持语言 厂商 备注
Contrast Assess / Contrast OWASP企业会员
Checkmarx CxIAST / Checkmarx OWASP企业会员
Seeker ASP.NET、C#、Clojure、Gosu、Groovy、Java、JavaScript(Node.js)、Scala(包括Lift)、VB.NET Synopsys OWASP企业会员
VulHunter Java SecZone开源网安 OWASP中国企业会员
AAS-IAST Java 昂楷科技

如果你对这篇文章有疑问,欢迎到本站 社区 发帖提问或使用手Q扫描下方二维码加群参与讨论,获取更多帮助。

扫码加入群聊

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

目前还没有任何评论,快来抢沙发吧!

关于作者

JSmiles

生命进入颠沛而奔忙的本质状态,并将以不断告别和相遇的陈旧方式继续下去。

2512 文章
30 评论
81894 人气
更多

推荐作者

qq_iQVWB

文章 0 评论 0

gyhjy

文章 0 评论 0

dianjvnan

文章 0 评论 0