探索网络安全新技术
攀登黑客技术最高峰

SCodeScanner:自动化源码漏洞扫描工具

SCodeScanner:自动化源码漏洞扫描工具-威武网安

工具简介

SCodeScanner 代表源代码扫描器,用户可以在其中扫描源代码以查找关键漏洞。该扫描器的主要目标是在代码发布到 Prod 之前找到源代码中的漏洞。

新版本、新公告的网站 – https://scodescanner.info/

为什么使用SCodeScanner?

SCodeScanner 是一个完全开源的、基于命令行的 Python 工具,用于识别代码中的漏洞。它旨在易于使用,并提供许多使其有别于其他工具的功能,包括:

[admonition]

误报更少:SCodeScanner 包含有助于消除误报的标志,并且仅报告已确认存在的漏洞。

自定义 semgrep 规则:SCodeScanner 与 semgrep 一起工作,但创建自己的规则,这有助于避免误报和耗时的扫描。

基于命令行 Python 的工具:SCodeScanner 是一种基于命令行的 Python 工具,对于所有技术背景的人来说都很容易使用。虽然许多用于识别漏洞的开源工具都是基于 GUI 的,但 SCodeScanner 的命令行界面使得从终端运行变得简单

快速扫描:SCodeScanner 的规则旨在一次检查多个漏洞,从而减少规则要处理的文件并加快整体扫描过程。

可见性——SCodesScanner 支持 JIRA、SLACK 集成,通过将文件发送到 Slack 组或通过发布 jira Issue 来提供识别结果的可见性。

跟踪用户输入变量的能力:SCodeScanner 可以识别用户输入变量在一个文件中定义但在另一个文件中不安全地使用的实例。

易于阅读的 JSON 输出:SCodeScanner 以易于阅读的 JSON 格式提供结果,可用于进一步分析。

[/admonition]

工具特点

支持的PHP语言
支持的YAML语言
将结果传递给错误跟踪服务,如 Jira 和 Slack(一次将文件发送给多个人)。
以 JSON 格式给出结果,可以很容易地用于任何其他程序。
使用规则。我们只需要创建一些目标规则不存在于 php/yaml 目录中的规则。
可以扫描高级模式的规则

安装使用

git clone https://github.com/agrawalsmart7/scodescanner.git
cd SCodeScanner
pip3 install -r requirements.txt

工具下载

SCodesScanner

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《SCodeScanner:自动化源码漏洞扫描工具》
文章链接:https://www.wevul.com/1158.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册