Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   Давайте поговорим про системы для статик анализа кода (https://forum.antichat.xyz/showthread.php?t=455025)

artkar 26.08.2017 21:19
Расскажите какими пользуетесь, научите что самое крутое. Где можно "нахаляву посчупать"?

Например Fortify Static Code Analyzerот Hewlett-Packard?

artkar 28.08.2017 13:33
Алё? Есть на ачате кто кроме тролей то?

Mumu 29.08.2017 11:23
Цитата:
Сообщение от artkar
artkar said:

Расскажите какими пользуетесь, научите что самое крутое. Где можно "нахаляву посчупать"?
Например
Fortify Static Code Analyzer
от Hewlett-Packard?
Насколько я знаю, то нигде на халяву не дают. Продуктов дохрена, в России только 3 штуки (Apllication Inspector, Appercut, Solar Incode), а ещё есть похожие продукты в Америке, Европе, Израиле и т.д.

Как вариант - регить фирму на себя (за бугром, например в Сингапуре, можно удаленно открыть юр лицо), после чего запрашивать у производителей триал и юзать.

Либо искать друзей, которые работают в юр.лицах, и через них запрашивать триал.

artkar 29.08.2017 18:02
Спасиб новорег

NiggaTron 01.09.2017 12:07
Одним из топовых продуктов будет Checkmarx, потом есть смысл смотреть в сторону HP Fortify и IBM AppScan Source, но как говорится с каждым из продуктов есть свои нюансы.

Самый простой способ заполучить заветный Checkmarx - это представиться специалистом какой либо компании, либо как вариант - сказать, что вы ресерчер/фрилансер и под проект ищете продукт, соответственно - вам нужна демка. Демку дают на 100 тысяч строк кода (за раз), т.е. остается только разделить проект на части и отсканировать (если он больше). Доступ обычно предоставляют на 7 дней.

У HP просить демки не доводилось, IBM могу сразу сказать, что точно так просто не даст.

У Checkmarx анализ кода выполняется в их облаке, там особо навыков не нужно. Получили доступ, залили свой код в ZIP архивах, оно посчитало строки, за 30-60 минут отсканировало и выдало четкий и понятный отчет. Далее, уже просто колупаете отчет и изучаете полученную информацию.

Еще есть вендор RIPS, можно попросить доступ у них, но эти немцы жесткие, дают доступ только для компаний, просят писать с корпоративной почты, а в демке полный отчет просмотреть нельзя, потому как видимо понимают, что так не заработают ничего и все будут тупо просить демки Через демо доступ можно просмотреть только результаты по XSS, остальное все будет закрыто.

Вот ссылка на список тулов с OWASP: https://www.owasp.org/index.php/Static_Code_Analysis

А вот старая версия RIPS которую можно запилить локально и чекать PHP исходнички, но учтите - она устаревшая: http://rips-scanner.sourceforge.net/

artkar 01.09.2017 17:29
Ат молодца! Ат красава! Дал бы сто лайков, но могу тока 1


Время: 16:18