Perl代码安全扫描程序而不是RAT?(必须是静态的)
除了,还有其他Perl安全扫描程序吗 也可能是任何能够跟踪数据流或其他受污染的输入的纯静态引擎?主要基于《Perl最佳实践》一书实施了大量安全检查。鉴于Perl::Critic是使用PPI解析器编写的,因此它可能比RAT能够实现更大的内省 也就是说,没有任何代码扫描器或实用程序会发现由于糟糕的编程实践而导致的安全错误。一些简单的最佳实践可以大有帮助。手册页详细介绍了许多Perl安全问题,并提供了一些很好的实用建议 根据我自己的经验,我审计了堆积如山的糟糕代码:Perl代码安全扫描程序而不是RAT?(必须是静态的),perl,security,graph,code-analysis,Perl,Security,Graph,Code Analysis,除了,还有其他Perl安全扫描程序吗 也可能是任何能够跟踪数据流或其他受污染的输入的纯静态引擎?主要基于《Perl最佳实践》一书实施了大量安全检查。鉴于Perl::Critic是使用PPI解析器编写的,因此它可能比RAT能够实现更大的内省 也就是说,没有任何代码扫描器或实用程序会发现由于糟糕的编程实践而导致的安全错误。一些简单的最佳实践可以大有帮助。手册页详细介绍了许多Perl安全问题,并提供了一些很好的实用建议 根据我自己的经验,我审计了堆积如山的糟糕代码: 始终使用污染模式(-T标志) 始
- 始终使用污染模式(
标志)-T
- 始终
使用严格的
- 始终
使用警告
- 始终在DBI代码中使用
- 在将任何输入用作文件名、方法/函数名或系统调用的参数之前,请始终仔细检查并清理它
- 尽可能避免字符串
;不管怎样,这是低效的。切勿将用户输入放入eval
字符串中eval
我肯定还有很多事情我现在记不起来了,但已经很晚了 关于图形引擎,我刚刚发现
解析、分析和操作Perl (不含perl)
主要特点包括:
它并不真正实现安全检查,因为它不知道任何代码实际上在做什么。但是,它可以在本地告诉您有问题的代码。但是,它不能告诉您运行代码时会发生什么。