一款简单好用的java代码审计工具，代码审计工程师的福利。

“铲子”是一款极具实用性的 JAVA SAST（静态应用程序安全测试）工具。其目标是为安全工程师们提供一款“简单、好用、价格厚道”的代码安全扫描产品。

（产品演示）

（一）支持语言

• Java，支持 Servlet&filter、spring、dubbo、thirft、jfinal、netty、mybatis、dropwizard、jdk 内置 httpserver、jsp，xml、yaml、properties 等技术栈。

（二）采用技术

• 运用污点分析技术。“铲子”能够将 java、xml（mybatis、dubbo）等统一构建数据流图，无需编译即可进行精准的污点分析。漏洞结果可在数据流窗口轻松阅读。

（三）支持漏洞

• 内置了 sql 注入、命令注入、文件上传、ssrf 等常见的 cwe 漏洞规则，同时还包括 log4j、shiro、xstream、actuator 等组件类漏洞规则。

（四）导出报告

• 用户可以对漏洞进行标记，并导出简洁明了的漏洞报告。报告内容包含漏洞类型、危害等级、所在位置以及修复建议，能够助力开发人员快速定位和解决问题。

（五）反编译

• 支持反编译扫描。在新建任务时，可选择需要反编译的 jar 或 class 文件；在审计过程中，也能对单个 class 或 jar 文件进行反编译，以便阅读代码。

（六）编辑器

• 多功能代码编辑器。为了让用户更方便地阅读代码，减少在 sast 工具及 ide 之间的频繁切换，编辑器内置了类型、变量、方法的跳转及使用查找功能，还能快速搜索全仓库及文件的代码大纲。

（七）自定义规则

• 自定义规则采用 cypher 查询语言，用户学习门槛低。对于熟悉图数据库的同学来说，可以快速上手。

注：扫描过程不会上传任何形式的代码数据到服务端，请放心使用。

1. 下载安装：访问“铲子”官方网站，根据您的操作系统选择合适的安装包进行下载并安装。

2. 配置环境：一键安装，无需额外配置。

3. 开始扫描：启动程序后，点击新建任务即可开启扫描之旅。

4. 查看结果：在漏洞窗口查看扫描结果，可按需进行漏洞排序、筛选、标记等操作。

5. 查看报告：在“任务”栏右键即可导出报告。

• 如果您是一位乙方安全工程师，需要为客户提供代码审计服务。

• 如果您是一位安全研究员，希望利用铲子进行漏洞挖掘。

• 如果您是一位甲方安全工程师，您可能希望利用铲子审计公司的业务代码。