代码审计工具铲子-SAST

admin 2024年10月12日10:30:12评论46 views字数 816阅读2分43秒阅读模式

一、产品定位

  • “铲子”是一款简单易用的SAST(静态应用程序安全测试)工具,旨在为安全工程师提供一款简单、好用、价格厚道的JAVA代码安全扫描产品。

二、功能介绍

  • 支持语言: java(webservlet、spring mvc、dubbo、mybatis、thrift、jsp等)

  • 采用技术:轻量级污点分析,铲子会将java、jsp、xml、yaml、properties等文件分析并构建数据流图(无需编译),然后进行污点分析

  • 支持漏洞:内置了 sql 注入、命令注入、文件上传、ssrf 等常见漏洞规则,用户可以自定义规则。

  • 扫描报告:生成简单的漏洞报告,包括漏洞类型、风险等级、漏洞位置及数据流,帮助开发人员快速定位和解决问题。

  • 其他特性:反编译扫描、跳转到类型/定义、变量的数据流上下游跳转、代码大纲、代码检索、漏洞标记等。

三、快速开始

  • 点击工具栏左侧的新建任务。

  • 填写代码信息,可以选择本地代码或远程Git地址。

  • 如果你需要扫描编译后的 jar或 class 文件可以勾选反编译。

点击开始,任务完成创建,扫描包括以下阶段:反编译>代码分析>规则执行。

四、最新版本下载

  • 下载安装:访问“铲子”官方网站www.chanzikeji.com,选择合适的安装包进行下载并安装。

  • 配置环境:铲子内置了Java运行环境,无需额外的环境配置。

  • 新版本特性:您可以关注我们的微信服务号"铲子SAST",我们会及时发布新版本的相关特性。

五、技术支持与社区

  • 技术支持:您可以在GitHub 提交 bug、需求或发起讨论来进行技术交流。

  • 产品文档:GitHub上提供了详细的文档,您可以根据文档快速上手使用。

  • 售后支持:可以在我们的微信服务号"铲子SAST"联系客服人员。

  • 铲子官网:https://www.chanzikeji.com

  • Github:https://github.com/Chanzi-keji/chanzi

六、产品界面

代码审计工具铲子-SAST

原文始发于微信公众号(黑熊安全):代码审计工具铲子-SAST

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月12日10:30:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   代码审计工具铲子-SASThttps://cn-sec.com/archives/3257778.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息