应用软件安全测试技术

本项目聚焦常见的应用软件安全测试技术，收集并整理全球范围内已知相关的OWASP工具、开源或免费工具、商业工具。

1. 静态应用安全测试（SAST）

静态应用安全测试，也称为白盒测试，通常作为代码审查的部分，并在安全开发生命周期（SDL）的实现阶段进行。静态代码分析通常是指运行静态代码分析工具，这些工具试图通过使用分析技术来突出显示“静态”（非运行）源代码中的可能漏洞。

软件名称	支持语言
OWASP Code Crawler	.NET, Java
OWASP Orizon Project	Java
OWASP LAPSE Project	Java
OWASP WAP-Web Application Protection	PHP

软件名称	支持语言
Agnitio	ASP, ASP.NET, C#, Java, JavaScript, Perl, PHP, Python, Ruby, VB.NET, XML
Brakeman	Ruby, Rails
DevBug	PHP
FindBugs	Java
Find Security Bugs	Java, Scala, Groovy
FlawFinder	C, C++
Microsoft FxCop	.NET
.NET Security Guard	.NET, C#, VB.net
phpcs-security-audit	PHP
PMD	Java, JavaScript, Salesforce.com Apex and Visualforce, PLSQL, Apache Velocity, XML, XSL
Puma Scan	.NET, C#
Microsoft PREFast	C, C++
RIPS Open Source	PHP
SonarCloud	ABAP, C, C++, Objective-C, COBOL, C#, CSS, Flex, Go, HTML, Java, Javascript, Kotlin, PHP, PL/I, PL/SQL, Python, RPG, Ruby, Swift, T-SQL, TypeScript, VB6, VB, XML
Splint	C
VisualCodeGrepper	C/C++, C#, VB, PHP, Java, PL/SQL

软件名称	支持语言	厂商	备注
RIPS	Java, PHP	RIPSTECH	OWASP企业会员
Fortify	ABAP/BSP, ActionScript/MXML (Flex), ASP.NET, VB.NET, C# (.NET), C/C++, Classic ASP (w/VBScript), COBOL, ColdFusion CFML, HTML, Java (including Android), JavaScript/AJAX, JSP, Objective-C, PHP, PL/SQL, Python, T-SQL, Ruby, Swift, Visual Basic, VBScript, XML	MicroFocus
Veracode Static Analysis	Android, ASP.NET, C#, C, C++, Classic ASP, COBOL, ColdFusion/Java, Go, Groovy, iOS, Java, JavaScript, Perl, PhoneGap/Cordova, PHP, Python, React Native, RPG, Ruby on Rails, Scala, Titanium, TypeScript, VB.NET, Visual Basic 6, Xamarin	Veracode	OWASP企业会员
CodeSonar	C, C++, Java	GrammaTech
ParaSoft	C, C++, Java, .NET	ParaSoft
Checkmarx CxSAST	Android, Apex, ASP.NET, C#, C++, Go, Groovy, HTML5, Java, JavaScript, JSP, .NET, Objective-C, Perl, PHP, PL/SQL, Python, Ruby, Scala, Swift, TypeScript, VB.NET, Visual Basic 6, Windows Phone	Checkmarx	OWASP企业会员
IBM AppScan Source	/	IBM
Coverity	Android, C#, C, C++, Java, JavaScript, Node.js, Objective-C, PHP, Python, Ruby, Scala, Swift, VB.NET	Synopsys	OWASP企业会员
CodeSec	C, C++, C#, Java, JavaScript, PHP, Kotlin, Lua, Scala, TypeScript, Android	SecZone开源网安	OWASP中国企业会员

IAST利用开发团队已经在部署过程中构建的QA测试环境来分析正在运行的应用程序的代码是否存在安全漏洞。IAST利用大量质量检查活动（例如烟，单元，功能和手动测试）来执行应用程序。

软件名称	支持语言	厂商	备注
Contrast Assess	/	Contrast	OWASP企业会员
Checkmarx CxIAST	/	Checkmarx	OWASP企业会员
Seeker	ASP.NET、C#、Clojure、Gosu、Groovy、Java、JavaScript(Node.js)、Scala(包括Lift)、VB.NET	Synopsys	OWASP企业会员
VulHunter	Java	SecZone开源网安	OWASP中国企业会员
AAS-IAST	Java	昂楷科技