Estoy buscando particularmente las que detectan vulnerabilidades en el código C / C ++. He visto un montón de herramientas propietarias pero no de código abierto.
Fortify lanzó RATS: enlace . Puede probarlo, sin embargo, no estoy muy satisfecho con los resultados de las herramientas comerciales y de código abierto. Probablemente las herramientas comerciales muestren un poco mejores resultados. El problema es que hoy en día muchos errores obvios se extinguen debido a varias razones. Sí, todavía hay software defectuoso y de mierda (y siempre lo habrá), y esas herramientas encontrarán esos errores, pero no los difíciles. La mayor parte del trabajo que aún tiene que hacer manualmente.
David Wheeler de FlawFinder tiene una gran lista de (30) OSS / FS & (14) Herramientas propietarias de análisis estático:
No.
"Bueno" en este caso es mayormente contradictorio con "herramientas para escanear código fuente". Especialmente los gratuitos, que no son de código abierto aquí, la mayoría de los comerciales apestan también.
La mejor herramienta (comercial) que he visto (y he investigado esto bastante) - fue Checkmarx por un Amplio margen. (Revelación: aunque no trabajo para ellos, he trabajado con ellos en el pasado).
Más abajo en la lista estaría IBM / Ounce (ahora llamado IBM Rational Appscan Source Code Edition, o algo así ...).
Más abajo se encuentran las herramientas comerciales de "segundo nivel", como Klockworcks y similares ... Mucho, mucho más abajo en mi lista está el titular, Fortificar (ahora propiedad de HP).
Tenga en cuenta que todos esos son comerciales, y bastante caros en eso.
Más abajo en la lista están las herramientas gratuitas / de código abierto, simplemente porque hacen una simple búsqueda de texto, más o menos lo que podrías hacer con, por ejemplo. grep.
En esta lista: RATS, ITS4, FlawFinder, algunos otros ... pero son bastante equivalentes, no tienen mucha lógica, no hay compilación, etc.
Si buscabas fuera de C y C ++, no es muy diferente, a excepción de algunas herramientas OWASP, por ejemplo. O2 para .NET, LAPSE para Java ...
Lea otras preguntas en las etiquetas tools appsec code-review vulnerability-scanners