PowerShell SAST / OWASP 10

Question

我目前正在开发一个PowerShell脚本，它有10k行代码连接到一个SQL。虽然在IDE中使用插件被认为是一种最佳实践--例如，对于Java或C#来扫描代码(Resharper/ Fortify或Sonarcube插件)，并且在构建过程中执行SAST分析，但我找不到任何适合于PowerShell代码的工具，只适用于气味不好但不那么被认为是SAST工具的PSScriptAnalyzer。

这样的工具是目前PowerShell无法使用的工具，还是您知道的任何有用的工具？

KR Chris

Answer 1

NIST定期更新SAST工具示例(而不是建议) 这里列表。截至2021年8月20日，唯一将Powershell列为受支持语言的工具是亚特兰西安的静态审查员

提供符合OWASP、CWE、CVE、CVSS、MISRA、CERT的安全检查。可作为软件组合分析(SCA)模块使用，以查找开放源代码库和第三方库中的漏洞

就我个人而言，我只是将PSScriptAnalyzer模块与微软的InjectionHunter规则集结合使用。现在，您可以将它们添加到VSCode的powershell插件规则中。