用于网站安全分析的CAT.NET替代方案

Question

我正在寻找对.NET代码执行静态安全扫描的CAT.NET的替代工具。目前，CAT.NET工具/开发处于某种程度上的脆弱阶段，并且没有提供我所期望的可靠性。

有没有其他的静态代码分析器可以用来检测安全问题？

Answer 1

看看FxCopy，StyleCop，CodeIt.Right，Coverity，还有一个来自red-gate.com的网站，它发现了薄弱的异常处理。还可以查看DevPartner工作室。在谷歌上搜索链接。

Answer 2

现在，您应该会发现CAT.NET的状态要好得多。它已经被重新编写，并将在今年晚些时候与Visual Studio2010一起发布。

在查看其他代码审查工具之前，值得考虑一下您正在寻找的是过程间或过程内静态分析，还是黑盒HTTP扫描器(不在代码上操作)。

所有这些工具只能找到25-50%的安全问题(这来自于构建CAT.NET的团队的负责人)。他们只能找到某些类型的问题。