一、产品定位
-
“铲子”是一款简单易用的SAST(静态应用程序安全测试)工具,旨在为安全工程师提供一款简单、好用、价格厚道的JAVA代码安全扫描产品。
二、功能介绍
-
支持语言: java(webservlet、spring mvc、dubbo、mybatis、thrift、jsp等)
-
采用技术:轻量级污点分析,铲子会将java、jsp、xml、yaml、properties等文件分析并构建数据流图(无需编译),然后进行污点分析。
-
支持漏洞:内置了 sql 注入、命令注入、文件上传、ssrf 等常见漏洞规则,用户可以自定义规则。
-
扫描报告:生成简单的漏洞报告,包括漏洞类型、风险等级、漏洞位置及数据流,帮助开发人员快速定位和解决问题。
-
其他特性:反编译扫描、跳转到类型/定义、变量的数据流上下游跳转、代码大纲、代码检索、漏洞标记等。
三、快速开始
-
点击工具栏左侧的新建任务。
-
填写代码信息,可以选择本地代码或远程Git地址。
-
如果你需要扫描编译后的 jar或 class 文件可以勾选反编译。
点击开始,任务完成创建,扫描包括以下阶段:反编译>代码分析>规则执行。
四、最新版本下载
-
下载安装:访问“铲子”官方网站www.chanzikeji.com,选择合适的安装包进行下载并安装。
-
配置环境:铲子内置了Java运行环境,无需额外的环境配置。
-
新版本特性:您可以关注我们的微信服务号"铲子SAST",我们会及时发布新版本的相关特性。
五、技术支持与社区
-
技术支持:您可以在GitHub 提交 bug、需求或发起讨论来进行技术交流。
-
产品文档:GitHub上提供了详细的文档,您可以根据文档快速上手使用。
-
售后支持:可以在我们的微信服务号"铲子SAST"联系客服人员。
-
铲子官网:https://www.chanzikeji.com
-
Github:https://github.com/Chanzi-keji/chanzi
六、产品界面
原文始发于微信公众号(黑熊安全):代码审计工具铲子-SAST
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论