我目前正在开发一个 PowerShell 脚本,其中包含连接到 SQL DB 的 10k 行代码。虽然在 IDE 中使用插件(例如 Java 或 C#)来扫描代码(Resharper/Fortify 或 Sonarcube 插件)并在构建过程中执行 SAST 分析被认为是最佳实践,但我找不到任何适合的工具除了 PSScriptAnalyzer 之外的 PowerShell 代码,它对难闻的气味有好处,但不太被认为是 SAST 工具。
这种工具目前根本无法用于 PowerShell,还是您知道任何有用的工具?
KR克里斯
NIST在此处保留定期更新的 SAST 工具示例(非推荐)列表。截至 2021 年 8 月 20 日,将 Powershell 列为受支持语言的唯一工具是 Atlassian 的Static Reviewer:
提供符合 OWASP、CWE、CVE、CVSS、MISRA、CERT 的安全检查。可用作软件组合分析 (SCA) 的模块,以查找开源和第三方库中的漏洞
就个人而言,我只是将该PSScriptAnalyzer模块与 Microsoft 的InjectionHunter规则集一起使用。现在,您可以将它们添加到 VSCode 的 powershell 插件规则中。