اسکن کدها برای یافتن آسیب‌پذیری

پروژه OWASP یک انجمن آنلاین برای مستندسازی و آگاه‌سازی در مورد امنیت برنامه‌های تحت وب است که مطالب و منابع بسیاری درباره مشکلات امنیتی و انواع آسیب‌پذیری‌های ممکن در زبان‌ها و تکنولوژی‌های مختلف و شیوه یافتن و رفع آن‌ها را به کمک داوطلبینی جمع‌آوری کرده.

لیست ابزارهای اسکن امنیتی کد

به جز صفحه معروف OWASP Top 10 که از ۱۰ مخاطره عمده امنیتی صحبت می‌کنه که سال‌هاست بروز می‌شود، یکی از صفحاتی که در OWASP مورد توجه من بوده صفحه لیست ابزارهای اسکن کد است.

داشتن یک دستیار نرم‌افزاری اتوماتیک برای اسکن و یافتن مشکلات و آسیب‌پذیری‌های احتمالی در کد برای تیم‌ها بسیار مفیده. این لیست الفبایی است و همونطور که در خود صفحه‌اش هم توضیح داده شده لزوماً توصیه شده توسط OWASP نیست اما مزایا و معایب سرویس‌های اسکن کد و پارامترهایی که در انتخاب یک سرویس خوب می‌تونه به شما کمک کنه لیست شدن.

Source Code Analysis Tools | OWASP Foundation

Source Code Analysis Tools on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.

OWASP logo

پیشنهاد من؟ نگاهی به این لیست و ابزارهاش بندازید و ببینید چطور می‌تونید در فرایند توسعه نرم‌افزار در تیم خودتون ازش استفاده کنید. بعضی از موارد این لیست رو به راحتی می‌شه در پروسه CI/CD اضافه کرد تا بررسی امنیتی کدهای اضافه شده به مخازن کد رو اتوماتیک انجام و رتبه‌دهی کنند.