Расскажите какими пользуетесь, научите что самое крутое. Где можно "нахаляву посчупать"?

Например Fortify Static Code Analyzerот Hewlett-Packard?

Алё? Есть на ачате кто кроме тролей то?

↑ (https://antichat.live/posts/4121492/)
Расскажите какими пользуетесь, научите что самое крутое. Где можно "нахаляву посчупать"?
Например
Fortify Static Code Analyzer
от Hewlett-Packard?


Насколько я знаю, то нигде на халяву не дают. Продуктов дохрена, в России только 3 штуки (Apllication Inspector, Appercut, Solar Incode), а ещё есть похожие продукты в Америке, Европе, Израиле и т.д.

Как вариант - регить фирму на себя (за бугром, например в Сингапуре, можно удаленно открыть юр лицо), после чего запрашивать у производителей триал и юзать.

Либо искать друзей, которые работают в юр.лицах, и через них запрашивать триал.

Спасиб новорег

Одним из топовых продуктов будет Checkmarx, потом есть смысл смотреть в сторону HP Fortify и IBM AppScan Source, но как говорится с каждым из продуктов есть свои нюансы.

Самый простой способ заполучить заветный Checkmarx - это представиться специалистом какой либо компании, либо как вариант - сказать, что вы ресерчер/фрилансер и под проект ищете продукт, соответственно - вам нужна демка. Демку дают на 100 тысяч строк кода (за раз), т.е. остается только разделить проект на части и отсканировать (если он больше). Доступ обычно предоставляют на 7 дней.

У HP просить демки не доводилось, IBM могу сразу сказать, что точно так просто не даст.

У Checkmarx анализ кода выполняется в их облаке, там особо навыков не нужно. Получили доступ, залили свой код в ZIP архивах, оно посчитало строки, за 30-60 минут отсканировало и выдало четкий и понятный отчет. Далее, уже просто колупаете отчет и изучаете полученную информацию.

Еще есть вендор RIPS, можно попросить доступ у них, но эти немцы жесткие, дают доступ только для компаний, просят писать с корпоративной почты, а в демке полный отчет просмотреть нельзя, потому как видимо понимают, что так не заработают ничего и все будут тупо просить демки Через демо доступ можно просмотреть только результаты по XSS, остальное все будет закрыто.

Вот ссылка на список тулов с OWASP: https://www.owasp.org/index.php/Static_Code_Analysis

А вот старая версия RIPS которую можно запилить локально и чекать PHP исходнички, но учтите - она устаревшая: http://rips-scanner.sourceforge.net/

Ат молодца! Ат красава! Дал бы сто лайков, но могу тока 1