面向OWASP漏洞的.NET静态代码分析器

Question

我正在寻找一个静态代码分析器，它可以检测OWASP前十名漏洞。

• SonarAnalyzer是SonarQube中内置的存储库，它只涵盖了OWASP前10名中的几个。
• 罗斯林保安 for .NET也关注安全性，但我没有看到任何关于OWASP漏洞被覆盖的信息。

是否有任何其他开源/商业静态检查工具可以为C#提供所有OWASP前10名的全面覆盖？

谢谢，Gaurav

Answer 1

这是相当开放的，但是，如果您正在严格地寻找静态应用程序安全测试(SAST)工具(而不知道您的预算)，您可能需要查看查克马克斯。

有一些开放源码的解决方案，比如土匪 for Python -然而，与大多数SAST一样，它们的假阳性率很高，以至于我最终严重调整了持续集成(CI & CD)之类的东西的阈值。

除此之外，还有一些动态应用程序安全测试(，DAST)工具，这些工具往往与语言和框架无关，而且更多的是行为(我更喜欢)，比如阿纽特克斯。缺点是，与同行相比，扫描要花费更长的时间。