用于JavaScript的静态应用程序安全测试工具

Question

我正在寻找软件，我可以集成到一个CI管道的javascript项目。该工具应检查安全问题的代码。

对于Python代码，我对bandit很满意。对于JavaScript，我见过ESLint，但我认为它只是关于格式化。类似于Python中的Flake8。

我主要是在寻找免费提供工具，但是如果有人能从个人经验中强烈推荐一种非免费工具，那也会很有趣。

我试过什么

• eslint-plugin-security，但这是没有维护的。
• semgrep，但我不确定JavaScript是否有好的安全测试规则
• nodejsscan：基于semgrep的；看起来不错，但是运行起来太长了

Answer 1

我认为声纳可能是个不错的人选。它的目的是与CI集成，并在javascript中发现某些安全问题。

Answer 2

在JS中，静态分析有几个方面：

• Linting (例如，eslint & plugins)；
• 代码覆盖范围(例如jest)；
• 供应链分析(如纱线审计)
• 代码气味、反模式等(例如SonarQube)

这里有一个关于这一专题的文章，我发现它很有用。这是关于TypeScript的，但是大部分应该适用于普通的JavaScript。它深入讨论了如何设置这些工具。