关于Scanmycode
Scanmycode是一款功能强大的静态代码安全扫描工具,该工具基于静态分析技术,并使用了多种工具来对目标代码进行扫描,扫描完成后会给研究人员生成一份详细的安全扫描报告。
值得一提的是,该工具还允许广大研究人员进行自定义开发或添加其他工具组件。当前版本的Scanmycode支持多种语言和技术栈,工具概念结构如下图所示:
功能特性
1、集成了多种工具,生成统一报告;
2、标记假阳性;
3、检查器中支持单独启用/禁用检测项;
4、支持1000多种检测技术;
5、检测速度快,重新检查时工具仅检查新代码;
6、Git支持(HTTPS/TLS和SSH),私有代码库仅支持SSH;
7、所有REST API均可调用(CI/CD可集成);
8、100%的代码透明度和对代码的完全控制;
工具安装
首先,我们需要在本地设备上安装并配置好docker和docker-compose。接下来,我们有两种选项可选择:
1、快速安装(使用DockerHub构建镜像)
git clone https://github.com/marcinguy/scanmycode-ce.gitcd scanmycode-ce/dockerhub./start.sh
2、手动构建
git clone https://github.com/marcinguy/scanmycode-ce.gitcd scanmycode-ce/docker./start.sh
工具使用
工具安装并配置完成后,就可以打开浏览器并访问下列地址:
http://localhost:5000
本地注册并登录之后,我们就可以开始使用Scanmycode了。
运行Web应用程序:
python manage.py runserver运行后台Worker:
python manage.py runworker工具运行截图
工具使用演示
https://image.3001.net/images/20220316/1647361247_6230bcdfc8fc31032583d.gif
许可证协议
本项目的开发与发布遵循BSD-3 Clause开源许可证协议。
项目地址
https://github.com/marcinguy/scanmycode-ce
参考资料
https://github.com/marcinguy/scanmycode-ce#how-is-scanmycode-different-than-sonarqube
https://github.com/marcinguy/scanmycode-ce/wiki
https://www.scanmycode.today/
原文始发于微信公众号(FreeBuf):Scanmycode:一款功能强大的静态代码安全扫描工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论