除RATS以外,還有其他Perl安全掃描程序嗎?Perl代碼安全掃描器除了RATS? (必須是_STATIC_)
也可能是任何STATIC只有perl code graph發動機有能力跟蹤數據流或污染的輸入嗎?
除RATS以外,還有其他Perl安全掃描程序嗎?Perl代碼安全掃描器除了RATS? (必須是_STATIC_)
也可能是任何STATIC只有perl code graph發動機有能力跟蹤數據流或污染的輸入嗎?
Perl::Critic在很大程度上基於書籍Perl最佳實踐實施了多項安全檢查。鑑於Perl :: Critic是使用PPI解析器編寫的,它可能比RATS可以實現更多的內省。
也就是說,沒有代碼掃描器或實用程序會發現安全錯誤,這是由於編程實踐不佳所致。幾個簡單的最佳實踐可以走很長的路。 perlsec聯機幫助頁詳細介紹了許多Perl安全問題,並提供了一些很好的實用建議。
從糟糕的代碼我自己的經驗審計山:
-T
標誌)use strict
use warnings
eval
;無論如何,它效率低下。切勿將用戶輸入放入eval
字符串中。我確定還有更多我現在不記得的東西,但已經晚了。 :)
它並沒有真正落實安全檢查,因爲它有不知道任何代碼實際上在做什麼。但是,它可以在本地告訴你有問題的代碼。但是,它不能告訴你任何有關運行代碼時會發生什麼情況。 – 2009-07-19 18:18:49