轉載:https://www.cnblogs.com/lsdb/p/9370391.html一、說明代碼審計工具看來還是比較難做,一是開源的代碼審計工具少,二是原本的一些開源審計工具很多都不更新甚至不能使用了。 VCG支持審計C++、Java、C#、PHP和VB,但其“審計”基本相當于函數查找,比如如果找到strcpy等可能引起溢出的函數就在報告中列出來,并沒有做進一步分析。 總的而言聊勝于無吧,VCG畢竟是少數還能用的開源審計工具之一了。
二、安裝使用2.1 下載下載地址:https:///projects/visualcodegrepp/?source=directory
2.2 安裝雙擊下載的安裝程序
選擇安裝目錄
確認安裝
完成安裝
2.3 使用2.3.1 啟動VCG 通過VCG自通創建的快捷方式或到安裝路徑下雙擊啟動VCG,界面如下
2.3.2 指定要審計的項目所用的編程語言 我這里也以C++項目為例,默認就是C++可以不用指定所以我這里可以不用指定,但對于Java等其他語言的項目如果不指定那在下一步中是加載不進文件的。
2.3.3 加載審計文件 File----New Target Directory選擇自己要進行代碼審計的目錄(如是是單個文件也可以使用下方的New Target File)
選定后如下圖所示,要審計的文件會加載到Target Files選項卡中
2.3.4 開始審計 Scan----Full Scan
審計完成后VCG會自動切換到Results選項卡,該選項卡展示所有VCG審計出的問題。開頭的MEDIUM等是問題評級,后邊和下邊是問題的具體描述。
2.3.5 保存審計結果 如果審計的代碼很多,報的問題很多可以將審計結果保存,以便下次導入就能查看而不用重新審計。 File----Export Results as XML即可導出。以后通過下邊的Import Results from XML File導入即可在繼續Results選項卡中查看問題。
|
|
|
