РИСЫ
 | Эта статья содержит контент, написанный как реклама . ( Май 2019 г. ) |
| Разработчик(и) | РИПС Технологии |
|---|---|
| Операционная система | Кросс-платформенный |
| Тип | Статический анализ кода |
RIPS ( Исследования и инновации для повышения безопасности ) — это программное обеспечение для статического анализа кода , предназначенное для автоматического обнаружения уязвимостей безопасности в приложениях PHP и Java . Первоначальный инструмент был написан Йоханнесом Дазе и выпущен во время Месяца безопасности PHP. [1] в мае 2010 года как программное обеспечение с открытым исходным кодом . [2] Версия с открытым исходным кодом выпускается под лицензией GNU Lesser General Public License и поддерживается до 2013 года.
В 2016 году компания RIPS Technologies, расположенная в Бохуме , Германия, выпустила переписанную версию RIPS. [3] Продукт RIPS с закрытым исходным кодом был ориентирован на промышленных заказчиков. Его методы анализа были удостоены, среди прочего, Премии защиты Интернета. [4] через Facebook .
В 2020 году RIPS Technologies была приобретена SonarSource . [5] Инструмент RIPS больше не доступен как отдельный продукт.
Версия с открытым исходным кодом (PHP)
[ редактировать ]Версия с открытым исходным кодом токенизирует код PHP ( лексический анализ ) на основе расширения токенизатора PHP и выполняет семантический анализ для построения модели программы. На основе ранее проанализированных присвоений переменных он выполняет обратный межпроцедурный анализ искажений чувствительных приемников. Эта версия или RIPS имела возможность очень быстро сканировать приложения PHP на наличие уязвимостей, специфичных для PHP. Он поддерживает обнаружение 15 различных типов уязвимостей, включая межсайтовый скриптинг , SQL-инъекцию , включение локальных файлов и другие. Обнаруженные уязвимости представлены в веб-интерфейсе с минимальным набором затронутых строк кода, а также сводкой уязвимостей. Для каждой уязвимости можно открыть встроенное средство просмотра кода, чтобы выделить затронутые строки кода в исходном исходном коде, что облегчает исправление. Кроме того, предлагается помощь в понимании уязвимости, а эксплойты могут создаваться автоматически. Интерфейс также предлагает список отсканированных файлов PHP, пользовательских функций и обнаруженных источников. Последняя стабильная версия — 0.55, выпущенная в 2017 году. [6]
Коммерческая версия (Java, PHP, Node.js)
[ редактировать ]Коммерческая версия поддерживает анализ кода PHP и Java. Чтобы идентифицировать уязвимости безопасности, основанные на потоках данных второго порядка или неуместных механизмах безопасности, использовались абстрактные синтаксические деревья , графы потоков управления и контекстно-зависимый анализ пятен. [7] Он может автоматически обнаруживать 200 различных типов уязвимостей, проблемы с качеством кода и недостатки неправильной конфигурации. Коммерческая версия поддерживала все версии Java (до 11), PHP (до 7) и Node.js, а также отраслевые стандарты, такие как OWASP Top 10, ASVS, CWE, SANS 25 и PCI-DSS . RIPS был доступен как локальное программное обеспечение и как программное обеспечение как услуга.
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ «MOPS Submission 09: RIPS — Статический анализатор исходного кода на наличие уязвимостей в PHP-скриптах «Месяц безопасности PHP» . Php-security.org . 24 мая 2010 г. Проверено 10 августа 2016 г.
- ^ «Загрузка RIPS с открытым исходным кодом» . SourceForge.net . Проверено 10 августа 2016 г.
- ^ «RIPS — технологический лидер в области статического тестирования безопасности приложений» . ripstech.com . 07.05.2019 . Проверено 7 мая 2019 г.
- ^ «Премия Интернет-защиты» . www.interdefenseprize.org . Проверено 19 марта 2017 г.
- ^ «Объявление SonarSource о приобретении» .
- ^ «RIPS — Анализ безопасности PHP — Просмотр файлов на SourceForge.net» . sourceforge.net . Проверено 5 мая 2024 г.
- ^ «RIPS — наш подход к статическому тестированию безопасности приложений» . ripstech.com . Проверено 7 мая 2019 г.