我目前正在开发一个PowerShell脚本,其中有10k行代码连接到SQL DB。虽然它被认为是在IDE中使用插件的最佳实践,例如Java或c#扫描代码(Resharper/Fortify或Sonarcube插件),并在构建过程中,执行SAST分析,我找不到任何适合PowerShell代码的工具,除了PSScriptAnalyzer,它对坏气味很好,但不太认为是SAST工具。
是目前PowerShell没有这样的工具,还是你知道任何有用的工具?
基米-雷克南克里斯。
NIST在这里保存了一个定期更新的SAST工具示例列表(不是推荐)。截至2021年8月20日,唯一将Powershell列为支持语言的工具是Atlassian的静态审查器:
提供符合OWASP, CWE, CVE, CVSS, MISRA, CERT的安全检查。可作为软件组合分析(SCA)的模块,用于查找开源和第三方库中的漏洞
就个人而言,我只是使用PSScriptAnalyzer模块与微软的InjectionHunter规则集。现在,你可以将它们添加到VSCode的powershell插件规则中。