OWASP
开源或免费工具
- Google CodeSearchDiggity – 利用谷歌代码搜索开源代码项目的漏洞,如MS CodePlex, SourceForge, Github等。这个工具自带130个多个注入、跨站脚本、远程和本地文件包含、硬编码等漏洞分析
- FindBugs – Java程序的漏洞查找工具
- FxCop – 微软的代码审查工具,主要目标是.net程序,包括设计、本地化、性能和安全性测试
- PMD – 会扫描java的代码问题,这个主要是用来检查代码bug而非安全问题
- PreFast – 微软的静态代码审查工具,主要对象是c和c++
- RATS – Fortify的开源工具,支持 C, C++, Perl, PHP and Python的
- OWASP SWAAT Project – 简单的工具,支持 Java, JSP, ASP .Net, and PHP
- Flawfinder – c和c++审查
- RIPS – php应用的静态代码审查工具
- Brakeman – Ruby的开源漏洞审查工具
- Codesake Dawn – Sinatra, Padrino 和 Ruby的审查工具
- VCG – C/C++, Java, C# 和 PL/SQL的代码审查工具。
商业工具
- IBM Security AppScan Source Edition (formerly Ounce)
- Static Source Code Analysis with CodeSecure™ (Armorize Technologies)
- Static Code Analysis (Checkmarx)
- Security Advisor (Coverity)
- Source Code Analysis (HP/Fortify)
- Parasoft Test (Parasoft)
- Veracode (Veracode)
感谢 终焉的银河 提供支持