程式碼審計工具有哪些?網路安全課程學習

　　程式碼審計，顧名思義就是檢查原始碼中的安全缺陷，檢查程式原始碼是否存在安全隱患，或者有編碼不規範的地方，透過自動化工具或者人工審查的方式，對程式原始碼逐條進行檢查和分析，發現這些原始碼缺陷引發的安全漏洞，並提供程式碼修訂措施和建議。那麼程式碼審計工具有哪些?以下為詳細的內容介紹。

　　在原始碼的靜態安全審計中，使用自動化工具代替人工漏洞挖掘，可以顯著提高審計工作的效率。而且學會利用自動化程式碼審計工具，是每一個程式碼審計人員必備的能力。接下來為大家介紹幾個程式碼審計工具：

　　第一類：Seay原始碼審計系統

　　這是基於C#語言開發的一款針對PHP程式碼安全性審計的系統，主要執行於Windows系統上。這款軟體能夠發現SQL隱碼攻擊、程式碼執行、命令執行、檔案包含、檔案上傳、繞過轉義防護、拒絕服務、XSS跨站、資訊洩露、任意URL跳轉等漏洞，基本上覆蓋常見的PHP漏洞。在功能上，它支援一鍵審計、程式碼除錯、函式定位、外掛擴充套件、自定會規則配置、程式碼高亮、編碼除錯轉換、資料庫執行監控等數十項強大功能。

　　第二類：Fortify SCA

　　Fortify SCA是由惠普研發的一款商業軟體產品，針對原始碼進行專業的白盒安全審計。當然，它是收費的，而且這種商業軟體一般都價格不菲。它有Windows、Linux、Unix以及Mac版本，透過內建的五大主要分析引擎對應用軟體的原始碼進行靜態分析。

　　第三類：RIPS

　　RIPS是一款基於PHP開發的針對PHP程式碼安全審計的軟體。另外，它也是一款開源軟體，由國外安全研究員開發，程式只有450KB，目前能下載到的最新版本是0.54，不過這款程式已經停止更新了。它最大的亮點在於呼叫了PHP內建解析器介面token_get_all，並且使用Parser做了語法分析，實現了跨檔案的變數及函式追蹤，掃描結果中非常直觀地展示了漏洞形成及變數傳遞過程，誤報率非常低。RIPS能夠發現SQL隱碼攻擊、XSS跨站、檔案包含、程式碼執行、檔案讀取等多種漏洞，檔案多種樣式的程式碼高亮。