之前在做 國內軟件測試現狀調查 之時,因為安全性測試工具太多,結果顯示其分布比較廣,填寫“其它”占的比重很高(66%),為此專門做了壹個調查 ,雖然收集的有效反饋不多(不到100),但基本反映了測試工具的使用現狀。
1. 從總體看,(靜態的)代碼分析工具和(動態的)滲透測試工具應用還是比較普遍 ,超過60%,而且滲透測試工具(73.68%)略顯優勢,高出10%。模糊測試工具,可能大家感覺陌生,低至16%,但它在安全性、可靠性測試中還是能發揮作用的。從理論上看,代碼分析工具應該能達到95%以上,因為它易用,且安全性已經是許多公司的紅線,得到足夠重視。 希望以後各個公司能夠加強代碼分析工具和模糊測試工具的應用。
2. Java代碼安全性分析工具前三名是 : IBM AppScan Source Edition(42.11%)、Fotify Static Code Analyzer(36.84%)、Findbugs(26.32%) ,而JTest、PMD等沒進入前三名,雖然和第3名差距不大,只有5%左右。也有公司使用Checkmarx,不在此調查中。Coverity也支持Java,可能Java的開源工具較多,人們很少用它。
3. C/C++代碼安全性分析工具前三名是 : C++Test(38.89%)、IBM AppScan Source Edition(38.89%)、Fotify Static Code Analyzer(27.78%)、Visual Studio(27.78%) 。Coverity、CppCheck、LDRA Testbed 沒能進入前三名,可能LDRA Testbed比較貴,關鍵的嵌入式軟件采用比較多,而Coverity Cloud針對Github等上面的代碼有免費服務(/projects/cloud-dirigible),大家可以嘗試應用。
4. JavaScript代碼安全性分析工具應用最多的是 Google's Closure Compiler,其次是JSHint,也有的公司用Coverity來進行JS的代碼分析。
5. Python代碼安全性分析工具應用最多的是Pychecker ,其次是PyCharm,而Pylint使用比較少,也有幾個公司用Coverity來進行Python的代碼分析。
6. Web應用安全性測試的商用工具中,IBM AppScan異軍突起 ,高達70%的市場,其它商用工具無法與它抗衡,第2名SoapUI和它差距在50%以上,HP webInspect 不到10%。
7. Web應用安全性測試的開源工具中,Firebug明顯領先 ,將近50%,比第2名OWASP ZAP高12%,第三名是Firefox Web Developer Tools,超過了20%。
8. Android App的安全性測試工具中,Android Tamer領先 ,將近30%,比第2、3名AndroBugs、Mobisec、Santoku高15%左右。也有用其它不在調查項中的工具,總體看,Android App安全性測試工具分布比較散。
9. 網絡狀態監控與分析工具中,Wireshark遙遙領先,超過70%。 其次就是Tcpdump、Burp Suite,占30%左右。網絡狀態監控與分析工具挺多的,但從這次調查看,越來越集中到幾個工具中,特別是Wireshark功能強,覆蓋的協議比較多,深受歡迎。
10. SQL註入測試工具排在前三位的:SQLInjector、SQL Power Injector、OWASP SQLiX, 三者比較接近,差距在6%左右。其它兩項工具Pangolin、SQLSqueal也占了10%,而Antonio Parata、Blind SQL Injections、Bsqlbf-v2、Multiple DBMS Sql Injection、Sqlninja幾乎沒什麽人用。
安全性測試工具很多,還包括黑客常用的壹些工具,如暴力破解口令工具、端口掃描工具、防火墻滲透工具、滲透測試平臺等。從某種意義看,它們超出軟件範疇,更多屬於網絡空間安全、密碼學等範疇,在此就不展開了。概括起來最受歡迎的軟件安全性測試工具有: