五个不容错过的安全开发工具

震惊中外的XcodeGhost事件告诉我们,信息安全要从源头抓起,而源头往往就是指软件开发环节的安全性。(参考阅读:如何避免十大最严重的软甲安全设计缺陷)

但是从数以万行计的软件代码中查找漏洞并不是一件容易的事,索性市场上目前已经涌现了不少代码安全审查工具,这些工具不但能标记和统计代码中的安全隐患,同时也有助于形成安全优先的开发流程和文化。

以下IT经理网推荐五款代码安全审核工具,涵盖开源产品和收费商业产品,以及云端和企业内部部署两种交付方式。

一、Codiscope Jacks

Codiscope公司的Jacks是一个静态代码分析工具,也就是在软件未执行时进行代码分析,因此非常适合作为软件代码安全审核第一阶段的工具使用,对于那些在GitHub上托管代码的开发者来说,Codiscope Jacks(目前仍然是beta版本)可以作为云端安全服务使用,从Github导入代码进行扫描。Jacks目前能够扫描JavaScript程序,能够发现代码中的安全隐患并给出最佳实践建议。Codiscope计划在未来版本中支持Java等其他语言。

二、Flawfinder

Flawfinder是一个C/C++代码的开源安全审查工具,采用内建语法缺陷数据库,能够标记类似缓冲溢出、格式字符串、竞争条件、随机数获取方面的问题。Flawfinder是一个非常简单的工具,采用的算法也不复杂,可以看做是一个基于词典的源代码静态分析器。

Flawfinder的开发者David Wheeler表示:很多软件开发者都在不断重复犯相同的错误,开发人员应当在软件部署前就用Flawfinder审查代码。

三、IBM Security AppScan

IBM公司的Security AppScan主要定位于提升web和移动该应用的安全性,可以部署在企业内部,同时支持静态和(黑箱)动态分析。AppScan还支持交互分析,通过代理测试应用在服务器端的响应,例如观察应用是否存在SQL注入漏洞。此外AppScan还支持专门针对移动应用的安全分析。

四、Parasoft Development Testing Platform

Parasoft推出的开发测试平台(DTP)可以在IDE中提供代码静态分析,也可以作为持续集成系统的一部分使用。在持续集成中,DTP可以通过邮件、web报告或者在IDE中直接报告的方式向开发团队提供反馈。DTP为C/C++、.Net和Java分别提供了超过1500条规则,所有规则都有扩展文档,内容包括相关安全问题列表、常见缺陷列表(CWE)、参数等等。

Parasoft还提供一个工具RuleWizard,用于创建用户定制化的规则。

五、Rogue Wave Klockwork

Rogue Wave Klocwork属于企业内部部署的静态代码分析工具,可以与持续集成系统如Jenkins配合使用,分析增量代码改变。

Rogue Wave Klocwork可以帮助开发者在软件开发周期中尽可能早地发现质量和安全方面的代码缺陷。

本文转自d1net(转载)

时间: 2024-11-03 01:50:39

五个不容错过的安全开发工具的相关文章

五个值得尝试的前端开发工具

在过去的几年时间里,出现了许多全新的网页应用程序,不过,由于应用程序的功能越来越丰富,也导致了前端开发的复杂度大幅增加. 现在也有不少前端开发工具,比如Backbone和EmberJS框架都能提供稳定的App开发解决方案.同时,Javascript的应用也越来 越常广泛,而且它还能和Node.JS在后端协同工作,快速搭建易于扩展的网络应用.实际上,为了应对前端开发复杂度所带来的挑战,开发人员创建了许多工 具来简化开发流程.从测试框架,到分析工具,前端开发工具已经非常成熟了,正是得益于这些有用的工

在网页设计中五款实用的CSS辅助开发工具

CSS作为网页设计制作的一门基础语言,在网页设计中,它表现出了其独特的优势.例如更简洁的语言,模块化的结构. 对于页面开发而言是设计排版的改进.对于访客用户而言则是有助浏览速度的提高.而在开发维护以及在做被搜索时的SEO,使用CSS都是目前最好的选择.为了更好的对CSS进行开发,我们可以选择一些有帮助的工具. 1.CSS 3.0 Maker CSS3.0Maker是一款免费在线生成CSS3效果的工具,其所提供的CSS效果使用起来都十分方便.包括Border Radius.Gradient.CSS

求救-新学期学java,求开发工具

问题描述 新学期学java,求开发工具 请问谁有java的开发工具 eclipse啊?帮忙发给我一下吧!!!在网上找不到,请大神帮帮忙, 解决方案 http://www.eclipse.org/downloads/packages/eclipse-ide-java-ee-developers/marsr 解决方案二: 直接百度eclipse,进官网按照提示就能下载了 解决方案三: http://www.eclipse.org/downloads/直接去官网下 解决方案四: 就是上面那个官网,选择

php开发工具有哪五款_php技巧

 由于最近小编要自学php,所以整理了一些常用的php开发工具,给大家分享一下: 1.EditPlus     EditPlus是一套功能强大,可取代记事本的文字编辑器,拥有无限制的Undo/Redo.英文拼字检查.自动换行.列数标记.搜寻取代.同时编辑多文件.全屏幕浏览功能.对于很多php程序来说,EditPlus 非常简单好用.同时EditPlus也是一款好用的HTML编辑器,除了可以颜色标记HTML Tag (同时支持C/C++.Perl.Java)外,还内建完整的HTML和CSS1指令功

2017 年不可错过的开发工具 Top 50

想知道 2017 年有哪些值得关注的开发工具吗?StackShare 年度开发工具排行榜来啦! StackShare.io 是一个开发者工具及服务分享平台,致力于发现并分享开发者使用的开发工具.服务与优质资源,帮助开发者使用最方便的开发工具和便捷的服务.该网站对数千个数据点进行分析,并收集整理 2016 年开发者的评论和投票数,最终为大家呈现以下最热门开发工具排名. 应用与数据工具 #1:JavaScript:轻量级.可演绎的.面向对象的程序语言 得票数:4.72K 使用数:7.06K 点赞数:

20款不容错过的HTML5工具

  HTML5现在已经成为最流行的标记语言,拥有成熟的社区和广泛的浏览器支持,HTML5完备的功能和强大的拓展性使得设计师和开发者可以点铁成金.更多的可控元素,更自由的交互设计,变化随心的动效,丰富生动的多媒体都可以借助HTML5一手掌控. 更自由的搭建方式也意味着你需要掌控的东西更多,不过好在更多可能性还意味着更多的开发工具.下面推荐的20款开发工具能帮你更便捷地优化你的网页和Web应用,希望你能在这个不长的列表中找到你需要的工具!祝你好运! 1. Enyo Enyo是一个可以帮你创造高品质本

Java 开发者不容错过的 12 种高效工具

Java 开发者常常都会想办法如何更快地编写 Java 代码,让编程变得更加轻松.目前,市面上涌现出越来越多的高效编程工具.所以,以下总结了一系列工具列表,其中包含了大多数开发人员已经使用.正在使用或将来一定会用到的高效工具.这份列表名单包括集成开发环境.集成工具.测试和质量工具等. 1.集成开发环境 Eclipse是最有名也最广泛使用的Java集成开发环境(IDE),允许开发者结合语言支持和其他功能到任何的默认包中,而且Eclipse市场有许多定制和扩展的插件. IntelliJ已经引起了开发

不可错过的12款开源的Ruby on Rails开发工具

Ruby on Rails是最有效率的Web框架之一,并且是开源的.它让开发者在许多方面更方便地进行开发.这就是我们为大家列出这10余款开源的Ruby on Rails开发工具列表的原因.如果你是一个希望用简单容易的方式编写一些真正伟大的代码的程序员,这个列表中的工具是你必须的.这个也是程序员的福音,因为它能十分显著地帮助程序员提高开发效率. 很多 Web 和移动设备的应用已经使用Ruby on Rails进行开发.这也是开发者总是对便捷工具渴望的原因,它能帮助开发者更快地编写代码.在这个竞争激

SDCC 2017·深圳站八大不容错过的理由

在互联网大潮下,2017年的就业环境越发恶劣,技术人如何去适应技术变革和学习新技术,以及如何快速增强自身的技术实力成为亟需解决的问题.如果你在看完一本技术图书后还是疑惑不解,处于目前项目遇到困难时无人请教的尴尬境地,亦不清楚业界同行在使用什么技术以及用得如何.还在做一名劣质的勤奋者--你或许需要别人醍醐灌顶的几句话,优秀的技术人才思考和解决问题的方式,甚而他们在面对成长瓶颈时的晋升之道. 成长固然没有固定的公式可循,但可以通过别人处事之道来启发自己,而技术人也理应时刻为自己充电,从而有效地为自己