Cobra(眼镜蛇)-白盒审计静态代码安全扫描与分析系统

"0x00 详细介绍

眼镜蛇(Cobra)是这款定坐落于静态数据编码安全性剖析的专用工具，总体目标是以便找到源码中存有的安全风险或是系统漏洞。 

为何人们必须这款编码审计系统？ 

企业愈来愈大，开发者也很多。每一产品研发工作人员的安全性素养都不同，尽管在企业关键新项目上能够采用架构层安全防范，但各种最新项目过多，没法保证每一新项目都应用同样架构，都去集成化安全性部件。

因此针对企业全部的新项目必需有一条安全防护来确保基础安全性，编码安全审计只能做为这一条安全性方式。

业界调查 

现阶段业界早已有许多款编码财务审计专用工具了

名字

是不是开源系统

w3af

是

Android Scan

是

cms源码 Scan

是

GrepBugs

是

Pixy 

是

RIPS

是

SWAAT

否

CodeSecure Verifier

否

Python-Sat

是

Yasca

是

这种新项目潜心的点都不同，极少数人商业的是定坐落于公司内编码财务审计的，但全是闭源的。

都还没这款开源系统的，而且定坐落于公有云应用的。

做为招标方公司，人们所必须的：

能迅速扫描仪新式系统漏洞（web运用每日都是有新的系统漏洞/进攻技巧出現，必须能够迅速没有响应新式系统漏洞的扫描仪）

可以扫描仪多种多样编程语言（大企业确实不容易只能这种编程语言，这就涉及必须适用多种语言）

可以全自动扫描仪、全自动汇报（人工服务参加每一项目成本很大）

依据人们的目地刷选较为后发觉，沒有这款合乎人们的要求。

因此人们挑选了一整套合乎公有云的编码审计系统。

怎样一整套编码审计系统？ 

编码财务审计大致方法能够分成二种：静态数据和动态性，

1. 静态数据财务审计

根据静态数据剖析源代码，发觉源代码中的逻辑性、数据处理方法、涵数错误操作来确定源代码中将会存有的系统漏洞。

一起静态数据剖析技术性现阶段也分成几类。

1.2 标准配对

简言之就是说依据特定的标准扫描仪编码中的难题。

例如在Python Kohana架构内，是有封裝好一致的取主要参数的方式，而且历经安全性过虑的。而将会出現的状况是刚来的产品研发工作人员不了解造成应用了Python内嵌的$_set / $_POST，可能会导致XSS，这时候就能够应用$_set / $_POST做为标准，找到源代码中全部出現这种涵数的地区。

这类方法都是许多白帽财务审计编码时采用的，尽管很直截了当