您位于: 首页 OWASP项目 应用软件安全测试技术

应用软件安全测试技术

本项目聚焦常见的应用软件安全测试技术,收集并整理全球范围内已知相关的OWASP工具、开源或免费工具、商业工具。

 

1. 静态应用安全测试(SAST)

静态应用安全测试,也称为白盒测试,通常作为代码审查的部分,并在安全开发生命周期(SDL)的实现阶段进行。静态代码分析通常是指运行静态代码分析工具,这些工具试图通过使用分析技术来突出显示“静态”(非运行)源代码中的可能漏洞。

 

1.1 OWASP工具

软件名称

支持语言

OWASP Code Crawler

.NET, Java

OWASP Orizon Project

Java

OWASP LAPSE Project

Java

OWASP WAP-Web Application Protection

PHP

1.2 其他开源或免费工具

软件名称

支持语言

Agnitio

ASP, ASP.NET, C#, Java, JavaScript, Perl, PHP, Python, Ruby, VB.NET, XML

Brakeman

Ruby, Rails

DevBug

PHP

FindBugs

Java

Find Security Bugs

Java, Scala, Groovy

FlawFinder

C, C++

Microsoft FxCop

.NET

.NET Security Guard

.NET, C#, VB.net

phpcs-security-audit

PHP

PMD

Java, JavaScript, Salesforce.com Apex and Visualforce, PLSQL, Apache Velocity, XML, XSL

Puma Scan

.NET, C#

Microsoft PREFast

C, C++

RIPS Open Source

PHP

SonarCloud

ABAP, C, C++, Objective-C, COBOL, C#, CSS, Flex, Go, HTML, Java, Javascript, Kotlin, PHP, PL/I, PL/SQL, Python, RPG, Ruby, Swift, T-SQL, TypeScript, VB6, VB, XML

Splint

C

VisualCodeGrepper

C/C++, C#, VB, PHP, Java, PL/SQL

1.3 商业工具

软件名称

支持语言

厂商

备注

RIPS

Java, PHP

RIPSTECH

OWASP企业会员

Fortify

ABAP/BSP, ActionScript/MXML (Flex), ASP.NET, VB.NET, C# (.NET), C/C++, Classic ASP (w/VBScript), COBOL, ColdFusion CFML, HTML, Java (including Android), JavaScript/AJAX, JSP, Objective-C, PHP, PL/SQL, Python, T-SQL, Ruby, Swift, Visual Basic, VBScript, XML

MicroFocus

Veracode Static Analysis

Android, ASP.NET, C#, C, C++, Classic ASP, COBOL, ColdFusion/Java, Go, Groovy, iOS, Java, JavaScript, Perl, PhoneGap/Cordova, PHP, Python, React Native, RPG, Ruby on Rails, Scala, Titanium, TypeScript, VB.NET, Visual Basic 6, Xamarin

Veracode

OWASP企业会员

CodeSonar

C, C++, Java

GrammaTech

ParaSoft

C, C++, Java, .NET

ParaSoft

Checkmarx CxSAST

Android, Apex, ASP.NET, C#, C++, Go, Groovy, HTML5, Java, JavaScript, JSP, .NET, Objective-C, Perl, PHP, PL/SQL, Python, Ruby, Scala, Swift, TypeScript, VB.NET, Visual Basic 6, Windows Phone

Checkmarx

OWASP企业会员

IBM AppScan Source

/

IBM

Coverity

Android, C#, C, C++, Java, JavaScript, Node.js, Objective-C, PHP, Python, Ruby, Scala, Swift, VB.NET

Synopsys

OWASP企业会员

CodeSec

C, C++, C#, Java, JavaScript, PHP, Kotlin, Lua, Scala, TypeScript, Android

SecZone开源网安

OWASP中国企业会员

 

2.  交互式应用安全测试(IAST)

IAST利用开发团队已经在部署过程中构建的QA测试环境来分析正在运行的应用程序的代码是否存在安全漏洞。IAST利用大量质量检查活动(例如烟,单元,功能和手动测试)来执行应用程序。

2.1 商业工具

软件名称

支持语言

厂商

备注

Contrast Assess

/

Contrast

OWASP企业会员

Checkmarx CxIAST

/

Checkmarx

OWASP企业会员

Seeker

ASP.NET、C#、Clojure、Gosu、Groovy、Java、JavaScript(Node.js)、Scala(包括Lift)、VB.NET

Synopsys

OWASP企业会员

VulHunter

Java

SecZone开源网安

OWASP中国企业会员

AAS-IAST

Java

昂楷科技