一、概述
VisualCodeGrepper (VCG) 是一个开源的自动化代码安全审查工具,支持多种编程语言,包括 C/C++、Java、C#、VB、PL/SQL、PHP 和 COBOL。它旨在通过识别不良/不安全的代码来加速代码审查过程。
功能特点
-
多语言支持:VCG 支持多种编程语言,并为每种语言提供了配置文件,允许用户添加任何需要搜索的不良函数或其他文本。
-
注释检查:VCG 尝试在注释中找到大约 20 个短语,这些短语可能表明代码有问题(如 “ToDo”、“FixMe”、“Kludge” 等)。
-
图表展示:VCG 提供了一个饼图,显示代码库和单个文件中代码、空白、注释、“ToDo” 样式注释和不良代码的相对比例。
-
智能搜索:VCG 旨在智能地搜索缓冲区溢出和 C 语言中的签名/无签名比较,以及 Java 代码中的 OWASP 推荐的违规行为。
二、安装使用
下载链接:https://sourceforge.net/projects/visualcodegrepp/
下一步之后,自定义安装的路径即可。
默认就是C++可以不用指定,但对于Java等其他语言的项目如果不指定那在下一步中是加载不进文件的。
File—-New Target Directory选择自己要进行代码审计的目录(如是是单个文件也可以使用下方的New Target File)。
Scan—-Full Scan(全局扫描),结果会在Results中显示。
File—-Export Results as XML即可导出。以后通过下边的Import Results from XML File导入即可在继续Results选项卡中查看问题。
文章转载
链接:https://www.cnblogs.com/lsdb/p/9370391.html
版本更新
最新版本 V2.3.2 增加了 GUI 更改、R 脚本扫描的测试功能以及一些小错误修复。
VCG 是一个强大的工具,适用于需要快速进行代码安全审查的场景,特别是在时间紧迫的情况下。
没有回复内容