從前幾天開始,我一直在爲ColdFusion尋找靜態代碼分析工具。直到現在我還沒有一個好的。我找到了兩個。是否有可用於ColdFusion的可靠靜態代碼分析工具?
從YASCA我只得到XSS警報和一些警報會議MGMT,沒有什麼比這更。我已經嘗試過整個項目。 我甚至無法使用ColdFusion10正確安裝cf-metrics,將所需的jar文件放入lib文件夾後,由於某些isapi重定向isse,我無法訪問我的IIS站點 。
還有其他工具嗎?
我在過去看過幾次,因爲我維護一個大型的CF應用程序。
每次我看,我都找不到合適的東西。我花了一段時間來研究使用Railo CFML解析器(因爲它是開源的)來構建自己的東西,並在當時得出結論,這是可能的,但這不是一項小任務。
您可能能夠重新檢查Railo方法,但將Rail從Rail中提供到現有的代碼分析工具中。我從來沒有那麼遠,但可能在一定程度上。
我很喜歡聽到不同的聲音,但簡短的回答是,那裏沒有多少東西。
如果你還在尋找一個ColdFusion Linter,我會推薦CFLint。它託管在GitHub和Maven上。解析器已更新爲使用ANTLR4,因此它比以前的版本要快得多。我們也比JSLint更容易定製。
現在(2017)的選項似乎是CFLint和非自由的安全代碼分析器,它不幸地作爲CF Builder IDE的一部分運行:https://helpx.adobe.com/coldfusion/2016/security-enhancements.html - 我正在考慮構建一個SAST解決方案。 – Leo