アプリケーションのセキュリティ テストのために、Veracode と FxCop のどちらかを選択する必要があります。明らかに、Veracode は有料で、FxCop は無料です。
しかし、FxCop の効率を知るには、自分の結果と veracode が提供する無料の分析結果を比較する必要があります。どちらのテストも同じ dll に対して実行されます。
クロスサイト スクリプティング エラーまたは FxCop での CRLF インジェクションはどのようにすればわかりますか? 利用可能なガイドはありますか? 両方で同じエラーを見ているかどうかを解読する方法はありますか?
どんな助けでも大歓迎です。
FxCop は、特にセキュリティ テストを対象としているわけではありません。特定のセキュリティ問題をチェックするルールがいくつかありますが、この点では、VeraCode、Coverity、または Fortify よりもはるかに高度ではありません。それらを置き換えることを意図したものではありません。この面では、基本的なチェックを提供することを意図しています。
コード分析は、ローカリゼーションとグローバリゼーションの問題、メモリ リーク、およびセキュリティとは関係のないその他の一般的に悪いことなど、他の側面もチェックします。
ベース ソリューションでは、少なくともVisual Studio 内でコード分析を使用する必要があります。サード パーティ ベンダーからの追加のセキュリティ チェックを使用するかどうかは、ユーザー次第です。追加のセキュリティ ルールでコード分析を拡張する、利用可能な (オープン ソース) ルールセットが多数あります。ただし、これらは Visual Studio に同梱されている標準のルールではありません (そして、何年も更新されていません)。
コード分析 (FxCop) に組み込まれているチェックの種類を確認するには、ドキュメントを参照してください。主に C# ではなく、HTML と Javascript でこのような間違いを犯す可能性が高いため、クロス サイト スクリプティングの警告が存在しないことがわかります。これは理にかなっています。CodeAnalysis と FxCop は、クライアント側のスクリプトや HTML ではなく、Managed .NET コードの問題をターゲットにします。
JsHint / JsLintなどの他のツールや、 OWASP グループが推奨するツールは、無料の代替手段を提供する場合があります。