我必须在Veracode和FxCop之间做出选择,以进行应用程序安全性测试。 很明显Veracode有价格而且FxCop是免费的。
但要了解FxCop的效率,我必须将我的结果与veracode提供的免费分析结果进行比较。两个测试都是针对同一个dll运行的。
我如何知道哪一个是FxCop中的跨站点脚本错误或CRLF注入? 有没有指南?如果我在两者中看到相同的错误,有什么方法可以解密吗?
感谢任何帮助。
答案 0 :(得分:0)
FxCop并非专门针对安全测试。虽然它有一些规则来检查特定的安全问题,但在这方面它远不如VeraCode,Coverity或Fortify先进。它并不意味着取代它们,在这方面,它意味着提供基本检查。
代码分析还会检查其他方面,例如本地化和全球化问题,内存泄漏以及与安全无关的其他一般性问题。
你的基础解决方案至少在Visual Studio中使用代码分析。是否要使用第三方供应商提供的额外安全检查取决于您。有许多(开源)规则集可用additional security rules扩展代码分析。这些不是Visual Studio附带的标准规则(并且已经很久没有更新)。
要查看代码分析(FxCop)中内置哪些类型的检查,请查看at the documentation。您将看到没有跨站点脚本警告,这是有道理的,因为您可能会在HTML和Javascript中犯这样的错误,而不是主要在C#中。 CodeAnalysis和FxCop目标问题在Managed .NET代码中,而不是客户端脚本或HTML中。
JsHint / JsLint等其他工具以及OWASP group推荐的工具可提供免费替代方案。