ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
26.08.2017, 21:19
|
|
Guest
Сообщений: n/a
Провел на форуме:
131082
Репутация:
6
|
|
Расскажите какими пользуетесь, научите что самое крутое. Где можно "нахаляву посчупать"?
Например Fortify Static Code Analyzerот Hewlett-Packard?
|
|
|
|
28.08.2017, 13:33
|
|
Guest
Сообщений: n/a
Провел на форуме:
131082
Репутация:
6
|
|
Алё? Есть на ачате кто кроме тролей то?
|
|
|
|
29.08.2017, 11:23
|
|
Guest
Сообщений: n/a
Провел на форуме:
12820
Репутация:
3
|
|
Сообщение от artkar
artkar said:
↑
Расскажите какими пользуетесь, научите что самое крутое. Где можно "нахаляву посчупать"?
Например
Fortify Static Code Analyzer
от Hewlett-Packard? Насколько я знаю, то нигде на халяву не дают. Продуктов дохрена, в России только 3 штуки (Apllication Inspector, Appercut, Solar Incode), а ещё есть похожие продукты в Америке, Европе, Израиле и т.д.
Как вариант - регить фирму на себя (за бугром, например в Сингапуре, можно удаленно открыть юр лицо), после чего запрашивать у производителей триал и юзать.
Либо искать друзей, которые работают в юр.лицах, и через них запрашивать триал.
|
|
|
|
29.08.2017, 18:02
|
|
Guest
Сообщений: n/a
Провел на форуме:
131082
Репутация:
6
|
|
Спасиб новорег
|
|
|
|
01.09.2017, 12:07
|
|
Guest
Сообщений: n/a
Провел на форуме:
3559
Репутация:
6
|
|
Одним из топовых продуктов будет Checkmarx, потом есть смысл смотреть в сторону HP Fortify и IBM AppScan Source, но как говорится с каждым из продуктов есть свои нюансы.
Самый простой способ заполучить заветный Checkmarx - это представиться специалистом какой либо компании, либо как вариант - сказать, что вы ресерчер/фрилансер и под проект ищете продукт, соответственно - вам нужна демка. Демку дают на 100 тысяч строк кода (за раз), т.е. остается только разделить проект на части и отсканировать (если он больше). Доступ обычно предоставляют на 7 дней.
У HP просить демки не доводилось, IBM могу сразу сказать, что точно так просто не даст.
У Checkmarx анализ кода выполняется в их облаке, там особо навыков не нужно. Получили доступ, залили свой код в ZIP архивах, оно посчитало строки, за 30-60 минут отсканировало и выдало четкий и понятный отчет. Далее, уже просто колупаете отчет и изучаете полученную информацию.
Еще есть вендор RIPS, можно попросить доступ у них, но эти немцы жесткие, дают доступ только для компаний, просят писать с корпоративной почты, а в демке полный отчет просмотреть нельзя, потому как видимо понимают, что так не заработают ничего и все будут тупо просить демки Через демо доступ можно просмотреть только результаты по XSS, остальное все будет закрыто.
Вот ссылка на список тулов с OWASP: https://www.owasp.org/index.php/Static_Code_Analysis
А вот старая версия RIPS которую можно запилить локально и чекать PHP исходнички, но учтите - она устаревшая: http://rips-scanner.sourceforge.net/ |
|
|
|
01.09.2017, 17:29
|
|
Guest
Сообщений: n/a
Провел на форуме:
131082
Репутация:
6
|
|
Ат молодца! Ат красава! Дал бы сто лайков, но могу тока 1
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
