lunedì 6 aprile 2015

Controllo del codice

Sulla mailing list ml di Sikurezza.org, un partecipante ha chiesto consigli
sugli strumenti di controllo automatico del codice.

Gli altri partecipanti hanno fornito diverse indicazioni: Fortify, ZAproxy,
pylint (per Python), Brakeman, Dawnscanner (per Ruby), Coverity (C++),
Veracode (su cloud).

Ancora più interessante è il link alla pagina del NIST, con una serie di
strumenti:
- http://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html

In molti hanno segnalato alcuni problemi di questi strumenti, soprattutto i
falsi positivi e la necessità di valutarne i risultati con la dovuta
cautela, visto che ogni prodotto ha le sue specificità.

In questi anni, lo confesso, ho sempre ignorato questi strumenti, usati sia
per il controllo della qualità sia della sicurezza del codice. Credo che
invece siano da prendere in considerazione.

Nessun commento:

Posta un commento