Давайте поговорим про системы для статик анализа кода

Расскажите какими пользуетесь, научите что самое крутое. Где можно "нахаляву посчупать"?

Например Fortify Static Code Analyzer от Hewlett-Packard?

 

Алё? Есть на ачате кто кроме тролей то?

 

Насколько я знаю, то нигде на халяву не дают. Продуктов дохрена, в России только 3 штуки (Apllication Inspector, Appercut, Solar Incode), а ещё есть похожие продукты в Америке, Европе, Израиле и т.д.
Как вариант - регить фирму на себя (за бугром, например в Сингапуре, можно удаленно открыть юр лицо), после чего запрашивать у производителей триал и юзать.
Либо искать друзей, которые работают в юр.лицах, и через них запрашивать триал.

 

Спасиб новорег

 

Одним из топовых продуктов будет Checkmarx, потом есть смысл смотреть в сторону HP Fortify и IBM AppScan Source, но как говорится с каждым из продуктов есть свои нюансы.
Самый простой способ заполучить заветный Checkmarx - это представиться специалистом какой либо компании, либо как вариант - сказать, что вы ресерчер/фрилансер и под проект ищете продукт, соответственно - вам нужна демка. Демку дают на 100 тысяч строк кода (за раз), т.е. остается только разделить проект на части и отсканировать (если он больше). Доступ обычно предоставляют на 7 дней.

У HP просить демки не доводилось, IBM могу сразу сказать, что точно так просто не даст.

У Checkmarx анализ кода выполняется в их облаке, там особо навыков не нужно. Получили доступ, залили свой код в ZIP архивах, оно посчитало строки, за 30-60 минут отсканировало и выдало четкий и понятный отчет. Далее, уже просто колупаете отчет и изучаете полученную информацию.
Еще есть вендор RIPS, можно попросить доступ у них, но эти немцы жесткие, дают доступ только для компаний, просят писать с корпоративной почты, а в демке полный отчет просмотреть нельзя, потому как видимо понимают, что так не заработают ничего и все будут тупо просить демки Через демо доступ можно просмотреть только результаты по XSS, остальное все будет закрыто.

Вот ссылка на список тулов с OWASP: https://www.owasp.org/index.php/Static_Code_Analysis
А вот старая версия RIPS которую можно запилить локально и чекать PHP исходнички, но учтите - она устаревшая: http://rips-scanner.sourceforge.net/

 

Ат молодца! Ат красава! Дал бы сто лайков, но могу тока 1