原始代码的SAST更好或者编译代码



从安全代码审查(SAST(的角度来看,我需要通过自动化工具扫描哪些代码?原始代码还是编译代码?

我认为这取决于您想要查找的内容。分析编译代码有机会找到生成的代码片段并对其进行分析。这也可能更容易一些,因为编译的代码必须在语法上正确。为了执行数据流分析,该工具实际上需要首先编译代码本身。我最喜欢的免费代码扫描工具(查找安全漏洞和OWASP依赖性检查(可以处理二进制文件。

另一方面,您可以在源代码中使用grep和regex。您可以看到所有可能从二进制文件中优化的FIXME和TODO注释和变量。我的一位同事根据一组正则表达式编写了一个查找安全漏洞的工具,他对自己的所作所为感到非常自豪。源代码分析也不会受到二进制文件混淆的影响。

相关内容

  • 没有找到相关文章

最新更新