标签: c# .net security owasp
我正在寻找一种可以检测OWASP Top 10漏洞的静态代码分析器。
是否有其他开源/商业静态检查器可以全面覆盖所有OWASP C#Top 10?
谢谢, 拉夫
答案 0 :(得分:1)
这是相当开放的,但如果您正在严格寻找静态应用程序安全测试(SAST)工具(不知道您的预算),您可能需要查看Checkmarx。
有一些开源解决方案,例如Python的Bandit,但是像大多数SAST工具一样,它们具有如此高的误报率,我最终会对持续集成(CI& amp; ; CD)。
除此之外,还有动态应用程序安全测试(DAST)工具,这些工具往往是语言和框架无关的,并且更具行为性(我更喜欢),例如Acunetix。缺点是与对应的扫描相比,扫描可能需要更长的时间才能运行。