Quelqu'un peut-il suggérer de bons outils open source pour numériser le code source des vulnérabilités?
Je cherche particulièrement ceux qui détectent des vulnérabilités en code C/C++. J'ai vu un tas d'outils propriétaires mais pas d'open source.
Fortify Rats libérés: http://code.google.com/p/rough-auditing-tool-for-security/ . Vous pouvez l'essayer, cependant, je ne suis pas très satisfait des résultats commerciaux et open source. Les outils commerciaux représentent probablement un peu de résultats meilleurs. Le problème est qu'aujourd'hui, beaucoup de bugs évidents deviennent éteints en raison de plusieurs raisons. Oui, il y a toujours des logiciels de buggy et de merde (et sera toujours), et ces outils trouveront ces bugs, mais pas ceux difficiles. La plupart du travail que vous devez encore faire manuellement.
David Wheeler of Flowfinder a une grande liste de (30) Ossaits d'analyse statique de l'OSS/FS & (14):