RATS以外に、他の Perl セキュリティ スキャナーはありますか?
おそらく、データフローやその他の汚染された入力を追跡する機能を持つSTATICのみのperl コード グラフエンジンですか?
1744 次
2 に答える
3
Perl::Criticは、本Perl Best Practicesに主に基づいて、多数のセキュリティ チェックを実装しています。Perl::Critic が PPI パーサーを使用して書かれていることを考えると、おそらく RATS よりもはるかに優れたイントロスペクションを実現できます。
とはいえ、コード スキャナーやユーティリティは、プログラミングのやり方が悪いだけの結果であるセキュリティ エラーを検出することはできません。いくつかの簡単なベスト プラクティスは、大いに役立ちます。perlsecのマンページには、多くの Perl のセキュリティ問題について詳しく説明されており、実用的なアドバイスがいくつかあります。
山のような悪いコードを監査した私自身の経験から:
- 常に汚染モードを使用する (
-Tフラグ) - いつも
use strict - いつも
use warnings - DBI コードでは常にプレースホルダーを使用する
- ファイル名、メソッド/関数名、またはシステム コールの引数として使用する前に、入力を常に精査してサニタイズします。
eval可能な限り文字列を避けてください。とにかく非効率です。ユーザー入力を文字列に入れないでくださいeval。
現時点で覚えていないことがもっとあると思いますが、それは遅いです。:)
于 2009-07-19T08:51:03.340 に答える
0
グラフエンジンに関しては、PPIを見つけました
Perl の解析、分析、操作 (perl なし)
主な機能は次のとおりです。
- ドキュメンテーション (perl コードの)
- 構造および品質分析
- リファクタリング
- レイアウト
- プレゼンテーション
于 2009-07-19T16:48:52.337 に答える