安全扫描工具

一、源代码扫描工具

1. Fortify

Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，通过与软件安全漏洞规则集进行匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。

2. VCG

VCG（VisualCodeGrepper）是一个支持C/C++，C#，VB，PHP，Java，PL/SQL和COBOL的自动化代码安全审计工具，他能够在资源有限的情况下廉价快速的帮助我们找出工程代码中可能的安全问题。但其“审计”基本相当于函数查找，比如如果找到strcpy等可能引起溢出的函数就在报告中列出来，并没有做进一步分析。VCG是少数开源审计工具之一。

 

二、Web扫描工具

1. AppScan

AppScan是一个动态的、黑盒的软件Web安全测试工具。AppScan是IBM的一款web安全扫描工具，可以利用爬虫技术进行网站安全渗透测试，根据网站入口自动对网页链接进行安全扫描，扫描之后会提供扫描报告和修复建议等。AppScan有自己的用例库，版本越新用例库越全（用例库越全面，对漏洞的检测较全面，被测试系统的安全性则越高）。