5 PHP Static sourcecode analyzers
Static source code analyzers zijn tools die een programmeur helpen om bepaalde bekende beveiligingsfouten in code te vinden.
Een static source code analyzer kan handig zijn. Maar de meeste kunnen maar een beperkt deel van de fouten die een programmeur maakt vinden. Daarnaast kan een static sourcecode analyzer soms een valse beveiligslek als resultaat geven. Dus het houden van code reviews blijft belangrijk voor het garanderen van de veiligheid van een bepaalt stuk code. Maar code analyzer kan wel wat helpen.
De meeste PHP static sourcecode analyzers zijn ook in PHP geschreven, het voordeel daarvan is dat de veiligheid compleet met je server configuratie getest wordt.
Ik heb op het internet gezocht naar PHP sourcecode analyzers en heb deze interessante opensource producten gevonden.
RIPS:
Pas nieuw project, dit project won een tweede plek in de maand van PHP beveiliging 2010.
https://sourceforge.net/projects/rips-scanner/
PHP Security Scanner:
https://sourceforge.net/projects/securityscanner/
spike phpsecaudit:
https://sourceforge.net/projects/phpsecaudit/
PHP-sat:
Update: deze tool is niet meer beschikbaar.
Pixy
Update: dit java programma is ook niet meer beschikbaar.