Jakie są narzędzia do sprawdzania kodu źródłowego w programach?

[gesnet]

Czy ktoś z Was zna jakieś narzędzia/programy do analizowania kodu źródłowego? Czy są jakieś zautomatyzowane tego typu programy, które potrafiły by wyszukiwać błędy?

# thalcave: przeniosłem do odpowiedniego działu.

[norvoles]

Może kompilator/interpreter danego języka?

[karmelek]

Błędy składniowe to j/w - algorytmicznie chyba tylko analiza kodu i testy.

[gesnet]

algorytmicznie chyba tylko analiza kodu i testy.

analiza kodu i testy? a da się to jakoś programowo, jakimś uniwersalnym softem do wykrywania błędów, ?

[Dwimenor]

Błędy gramatyczne w kodzie to kompilator ci wykryje podczas kompilacji i wyrzuci ostrzeżenie, ewentualnie przerwie kompilację z stosowną wiadomością.

Niestety, komputery nie są jeszcze tak sprytne, żeby wiedzieć co ty chcesz zrobić. Na najwyżej mogą ci powiedzieć co im kazałeś zrobić. Czyli debuggery i analizatory kodu.

Pogoogluj pod: source code analysis, gdb, static code analysis, dynamic code analysis

[gesnet]

Błędy gramatyczne w kodzie to kompilator ci wykryje podczas kompilacji i wyrzuci ostrzeżenie, ewentualnie przerwie kompilację z stosowną wiadomością.

Niestety, komputery nie są jeszcze tak sprytne, żeby wiedzieć co ty chcesz zrobić. Na najwyżej mogą ci powiedzieć co im kazałeś zrobić. Czyli debuggery i analizatory kodu.

Pogoogluj pod: source code analysis, gdb, static code analysis, dynamic code analysis

zawęźmy trochę temat do poszukiwania w miarę uniwersalnych narzędzi służących do analizy kodu pod kątem:
- dziur, luk, które mogą prowadzić do awarii programu, systemu operacyjnego
- funkcji które ma program a które są zawarte w kodzie źródłowy; głównie f-cje ukryte

[luzakwielki]

@gesnet:
Debugger (np. gdb) do szukania dziur, profiler do szukania wąskich gardeł wydajności (np. oprofile), Unit testy (cppunit), debugger pamięci do sprawdzania wycieków pamięci (valgrind) - jeśli szukasz jakiegoś automagicznego narzędzia do szukania dziur wszelkich dziur bez ingerencji i wiedzy osoby je obsługującej to niestety nie dostaniesz nic takiego.

[Semutachi]

Z książki "Hacking zdemaskowany Bezpieczeństwo sieci - sekrety i rozwiązania", wydanie z 2006 roku, strona 551. Nie używałem tych programów i nie wiem czy są jeszcze rozwijane

• SPLINT - C - lclint.cs.virginia.edu
• Flawfinder - C/C++ - http://www.dwheeler.com/flawfinder
• ITS4 - C/C++ - http://www.cigital.com
• Bugscan - binaria C/C++ - http://www.logiclibrary.com
• CodeAssure - C/C++, Java - http://www.securesw.com/products
• Prexis - C/C++, Java - http://www.ouncelabs.com
• RATS - C/C++, Python, Perl, PHP - http://www.securesw.com/resources/tools.html

W książce wspominają jeszcze o tym programie ale z tego co widzę jest płatny i chyba tylko na Windowsa.

[jacekalex]

Kod: Zaznacz cały

strace -o /tmp/program,log -f /path/to/program

a potem
grep, grep, grep.
Tak wygląda śledzenie wywołań systemowych programu, tutaj nic się nie ukryje.

[gesnet]

Z książki "Hacking zdemaskowany Bezpieczeństwo sieci - sekrety i rozwiązania", wydanie z 2006 roku, strona 551. Nie używałem tych programów i nie wiem czy są jeszcze rozwijane

• SPLINT - C - lclint.cs.virginia.edu
• Flawfinder - C/C++ - http://www.dwheeler.com/flawfinder
• ITS4 - C/C++ - http://www.cigital.com
• Bugscan - binaria C/C++ - http://www.logiclibrary.com
• CodeAssure - C/C++, Java - http://www.securesw.com/products
• Prexis - C/C++, Java - http://www.ouncelabs.com
• RATS - C/C++, Python, Perl, PHP - http://www.securesw.com/resources/tools.html

W książce wspominają jeszcze o tym programie ale z tego co widzę jest płatny i chyba tylko na Windowsa.

sprawdziłem tą książkę: page 535, hacking code jest podobnie jak wymieniłeś.
http://img807.imageshack.us/img807/4968/88879009.png

Rats jest w repo, sprawdzę jak to działa.

thx za info