铲子SAST 无限制每月扫描10项目

工具介绍

“铲子”是一款极具实用性的 JAVA SAST（静态应用程序安全测试）工具。其目标是为安全工程师们提供一款“简单、好用、价格厚道”的代码安全扫描产品。

“铲子”SAST的价格

项目地址：https://github.com/Chanzi-keji/chanzi

• 不开源

• Java 静态代码扫描工具

• 注：扫描过程不会上传任何形式的代码数据到服务端，请放心使用

二、功能介绍

• 支持语言: java（Servlet&filter、spring、jfinal、netty、dubbo、thirft、mybatis、dropwizard、jdk内置httpserver、jsp，xml、yaml、properties等）

• 采用技术：污点分析，铲子会将java、xml（mybatis、dubbo）等统一构建数据流图，无需编译，然后进行污点分析，漏洞结果可在数据流窗口进行方便的阅读

• 支持漏洞：内置了 sql 注入、命令注入、文件上传、ssrf 等常见cwe漏洞规则，以及log4j、shiro、xstream、actuator等组件类漏洞规则

• 导出报告：用户可对漏洞进行标记，并导出简单的漏洞报告，包括漏洞类型、危害等级、所在位置以及修复建议，帮助开发人员快速定位和解决问题

• 反编译:支持反编译扫描，可以在新建任务时选择需要反编译的jar或class文件，也可以在审计过程中对单个class或jar文件进行反编译阅读代码

• 编辑器：多功能代码编辑器，为了更方便的阅读代码，减少用户在sast工具及ide之前频繁切换，编辑器内置了类型、变量、方法的跳转及使用查找，快速搜索全仓库，及文件的代码大纲

• 自定义规则：自定义规则采用cypher查询语言，用户学习门槛低，对于熟悉图数据库的同学可以快速上手

• 注：扫描过程不会上传任何形式的代码数据到服务端，请放心使用

三、工具的安装使用

• 下载安装：访问“铲子”官方网站，根据您的操作系统选择合适的安装包进行下载并安装。

• 配置环境：内置 java 运行环境，一键安装，无需配置。

• 开始扫描：启动程序后，点击新建任务即可。

• 查看结果：在漏洞窗口查看即可，可按需进行漏洞排序、筛选、标记等。

• 查看报告：在任务栏右键导出报告即可。

试用

在网上找了一个靶场 Hello-Java-Sec

微信扫码登录

可以选择本地仓库或git仓库，需要是解压后的文件夹，不支持zip

任务完成

扫描结果中，有修复建议和漏洞危害，可以抄一手，以后写修复建议的时候复制粘贴

导成表格

搜索文件名

可以看到定位还是不错的，通用漏洞能直接找到

旁边还有图形化调用链

SSRF的

总结

实话说，用完出乎我的意料了。我也使用过国内各种安全厂商的SAST设备，除了团队化的功能（将漏洞一键转移给开发、漏洞推送），基本该有的功能都有了。但这些问题如果是个人使用几乎可以当做没有问题。

期待铲子后续的更新。

🚀 加入MarsCode，开启智能编程新纪元！🌟

🌐 作为豆包MarsCode的合伙人，我非常激动地向你推荐我们的智能编程助手——一个革命性的工具，它将彻底改变你的编码方式。👨‍💻💡

🎉 现在注册，不仅能体验AI如何助力你的编程工作，还能享受我们为你准备的特别福利——万元现金和京东卡等你来拿！💰🎁

🔗 点击链接立即注册：https://www.marscode.cn/events/s/iSvvD6eE/

🤖 让代码更智能，让开发更高效。MarsCode，你的AI编程伙伴，期待与你一起探索技术的未来！