DakshSCRA:一款功能强大的源代码安全审计工具(源代码安全审计收费)

DakshSCRA:一款功能强大的源代码安全审计工具(源代码安全审计收费)

关于DakshSCRA

DakshSCRA是一款功能强大的源代码安全审计工具,该工具旨在提升源代码安全审计的效率,并为广大代码安全审计人员提供一种结构良好且组织有序的代码审计方法。

DakshSCRA会对目标代码进行仔细审查,然后将潜在的安全问题进行标记,并敦促分析人员对已标记的潜在安全问题进行调查和确认。如果将所有的潜在问题都标记为Bug的话,会增加误报率,同时也会消耗掉审计人员大量宝贵的时间和资源。DakshSCRA不会对所有潜在的问题都标记为Bug,同时也减少了审计人员在处理误报方面要花费的时间,从而促进更高效的代码审查过程。

功能特性

1、识别源代码中审计人员感兴趣的部分:鼓励重点调查和确认,而不是不加区别地将所有内容标记为Bug;

2、确定文件路径中感兴趣的部分:识别文件路径中的模式,以确定要查看的相关部分;

3、软件级别的数据侦查以识别所使用的技术:识别项目技术,使代码审查人员能够按照适当的规则进行精确的扫描;

4、代码审查的自动化科学工作量估算:提供一种可测量的方法来估算代码审查过程所需的工作量;

5、使用特定于平台的规则以查找感兴趣的部分;

6、支持为任何新语言或现有语言扩展或添加新规则;

7、支持生成文本格式、HTML和PDF格式的报告以供审计人员查看和检查;

工具安装

由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/coffeeandsecurity/DakshSCRA.git

然后安装virtualenv:

$ pip install virtualenv

使用virtualenv搭建一个虚拟环境:

$ virtualenv -p python3 {name-of-virtual-env}例如: virtualenv -p python3 venv

激活刚才创建的虚拟环境:

$ source {name-of-virtual-env}/bin/activate例如: source venv/bin/activate

运行了激活命令之后,你将会看到终端窗口提示符变为如下所示:

(venv) $

配置完成后,在虚拟环境中运行下列命令安装该工具所需的其他依赖组件:

pip install -r requirements.txt

工具使用

下列命令可以直接查看工具的帮助选项:

pip install -r requirements.txt

usage: dakshscra.py [-h] [-r RULE_FILE] [-f FILE_TYPES] [-v] [-t TARGET_DIR] [-l {R,RF}] [-recon] [-estimate] options:-h, --help 查看工具帮助信息和退出-r RULE_FILE 指定平台专用的规则名称-f FILE_TYPES 指定要扫描的文件类型-v 指定Verbose模式等级 {'-v', '-vv', '-vvv'}-t TARGET_DIR 指定目标目录路径-l {R,RF}, --list {R,RF} 枚举规则[R]和文件类型[RF]-recon 检测目标代码使用的平台、框架和编程语言-estimate 评估代码审计工作量

工具使用样例

'-f'是一个可选项,如果不指定,工具默认会使用选择的规则扫描对应的文件类型:

dakshsca.py -r php -t /source_dir_path

可以使用 '-f'选项覆盖默认设置,并制定其他的文件类型:

dakshsca.py -r php -f dotnet -t /path_to_source_dirdakshsca.py -r php -f custom -t /path_to_source_dir

'-recon'和'-r'选项一起使用,则执行数据侦查和基于规则的扫描:

dakshsca.py -recon -r php -t /path_to_source_dir

如果只使用了'-recon'但没有'-r'选项的话,则只执行数据侦查:

dakshsca.py -recon -t /path_to_source_dir

'-v'代表开启Verbose模式,该选项是默认选项,'-vvv'将执行所有的规则检测及结果:

dakshsca.py -r php -vv -t /path_to_source_dir

支持的RULE_FILE:

dotnetjava、php、python、javascript

支持的FILE_TYPES:

dotnet、java、php、python、javascript、custom、allfiles

报告生成

HTML报告路径:

DakshSCRA/reports/html/report.html

PDF报告路径:

DakshSCRA/reports/html/report.pdf

数据侦查报告路径:

DakshSCRA/reports/text/recon.txt

识别模式文本报告:

DakshSCRA/reports/text/areas_of_interest.txt

项目文件识别报告:

DakshSCRA/reports/text/filepaths_aoi.txtDakshSCRA/runtime/filepaths.txt

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

DakshSCRA:https://github.com/coffeeandsecurity/DakshSCRA

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
上一篇 2024年2月14日 上午8:20
下一篇 2024年2月14日 上午8:32

相关推荐

  • 吉林市科研项目招聘

    吉林市科研项目招聘: 寻找敢于探索的科研人才 尊敬的科研人才: 吉林市是中国东北地区的一个重要城市,拥有丰富的自然资源和人文历史。我们是一家专注于科技创新的公司,正在寻找敢于探索的…

    科研百科 2025年4月2日
    1
  • 【高新党建】规范收缴、加强监管,让党费“生活”在阳光下(严格规范党费收缴工作)

    “按时、足额向党组织缴纳党费是每名共产党员必须具备的起码条件,也是应尽的义务。”为进一步强化党员干部组织观念和责任意识,工业智能化工作办公室党支部严格按照《党章》和省、市、区组织部…

    科研百科 2023年6月6日
    412
  • 黔南幼专:党建引领探索学生管理新路径(党建引领幼儿教育)

    “推普助力乡村振兴三下乡团队”被教育部、团中央表彰为“优秀团队”,小学教育活动设计与实施技能大赛学生赛连续两年(2023、2024)获得省级一等奖、2023年国赛三等奖,专升本连续…

    科研百科 2024年6月26日
    68
  • 煤矿科研项目预算

    煤矿科研项目预算:探索未来能源的新篇章 随着能源问题的日益凸显,煤矿科研项目预算成为了当前各国政府和企业关注的重点之一。煤矿作为我国的重要能源来源,科研项目预算的制定不仅关系到煤矿…

    科研百科 2025年3月1日
    1
  • 软考高级系统集成项目管理

    软考高级系统集成项目管理:掌握项目管理的核心技术 随着信息技术的不断发展,系统集成项目管理已经成为企业和个人工作中不可或缺的一部分。作为一项综合性的项目管理技能,软考高级系统集成项…

    科研百科 2025年1月30日
    1
  • 知网科研项目申报信息库多少钱

    知网科研项目申报信息库多少钱 随着科技的不断进步,知识共享已经成为全球热议的话题。作为知识共享平台的代表,知网科研项目申报信息库成为了许多研究人员获取科研项目信息的重要来源。然而,…

    科研百科 2024年4月10日
    83
  • 施工项目管理控制

    施工项目管理控制 在施工项目管理中,控制是非常重要的一环。只有通过有效的控制,才能确保施工项目按时完成,并达到高质量的标准。本文将介绍施工项目管理控制的相关知识,以及如何实施和控制…

    科研百科 2024年7月14日
    57
  • 绩效管理制度(绩效管理制度的内容包括)

    绩效管理制度 目录 一、 目的 二、 适用范围 三、 绩效管理职责 四、 绩效考核周期 五、 绩效考核内容 六、 绩效考核细项规定 七、 绩效考核结果评定 八、 绩效面谈 九、 绩…

    科研百科 2024年7月11日
    56
  • 科研项目 科技预期

    科研项目的科技预期是一个非常重要的概念,它涉及到一个项目在科技发展方向上的预期目标和前景。在科技领域,科技发展的速度非常快,每一天都有新技术的产生和旧技术的被淘汰。因此,科研项目的…

    科研百科 2025年2月13日
    1
  • 哪些项目管理软件系统好

    项目管理软件系统是用于跟踪和管理项目的工具,能够帮助团队更好地协作,提高生产效率和质量。今天,我们将探讨一些受欢迎的项目管理软件系统,这些系统可以满足不同团队的需求,包括小型企业,…

    科研百科 2025年1月26日
    1