RIPS - RIPS - Wikipedia

Эта статья о программном обеспечении. Для использования в других целях см. разрывы (значения).
RIPS
Разработчики)RIPS Technologies
Операционная системаКроссплатформенность
ТипСтатический анализ кода
Интернет сайтwww.ripstech.com

RIPS (Повышение безопасности программирования) это статический анализ кода программное обеспечение для автоматического обнаружения уязвимостей безопасности в PHP и Ява Приложения. Первоначальный инструмент был написан Йоханнесом Дасе и выпущен в течение Месяца безопасности PHP.[1] в мае 2010 г. программное обеспечение с открытым исходным кодом.[2] Версия с открытым исходным кодом выпущена под Стандартная общественная лицензия GNU ограниченного применения и сохранялась до 2013 года.

В 2016 году компания RIPS Technologies выпустила новую, переписанную версию RIPS как программный продукт,[3] высокотехнологичная компания, базирующаяся в Бохум, Германия. Новый продукт RIPS преодолевает ограничения инструмента с открытым исходным кодом[4] и отвечает промышленным потребностям. Его новые методы анализа были отмечены, среди прочего, Премией защиты Интернета.[5] к Facebook.

Версия с открытым исходным кодом (PHP)

Версия с открытым исходным кодом токенизирует код PHP (лексический анализ ) на основе расширения токенизатора PHP и выполняет семантический анализ построить программную модель. Основываясь на ранее проанализированных присвоениях переменных, он выполняет обратный межпроцедурный анализ загрязнения чувствительных приемников. Его сильная сторона - способность очень быстро сканировать PHP-приложения на предмет специфичных для PHP уязвимостей. Он поддерживает обнаружение 15 различных типов уязвимостей, в том числе Межсайтовый скриптинг, SQL-инъекция, Включение локального файла, и другие. Обнаруженные уязвимости представлены в веб-интерфейсе с минимальным набором затронутых строк кода, а также сводкой уязвимостей. Для каждой уязвимости можно открыть интегрированное средство просмотра кода, чтобы выделить затронутые строки кода в исходном исходном коде для легкого исправления. Кроме того, предлагается помощь в понимании уязвимости и автоматическое создание эксплойтов. Интерфейс также предлагает список просканированных файлов PHP, пользовательских функций и обнаруженных источников. Слабые стороны версии с открытым исходным кодом: ложные срабатывания из-за неиспользования абстрактное синтаксическое дерево или же график потока управления. Отсутствие поддержки объектно-ориентированный Код PHP может привести к ложные отрицания. Последняя стабильная версия выпуска - 0.54.

Коммерческая версия (Java, PHP)

Коммерческая версия поддерживает анализ кода PHP и Java. Он был построен с нуля и использует новые методы анализа кода, специально адаптированные к тонкостям каждого языка программирования и его функций. Оно использует абстрактные синтаксические деревья, графики потока управления и контекстно-зависимый анализ заражения для точного выявления даже сложных уязвимостей безопасности, которые основаны на потоке данных второго порядка или неуместных механизмах безопасности.[6] Кроме того, он имитирует встроенные функции, библиотеки и фреймворки каждого языка для минимизации ложных срабатываний. Он поддерживает автоматическое обнаружение более 200 различных типов уязвимостей, проблем с качеством кода и слабых мест неправильной конфигурации. RIPS обнаружил критические проблемы безопасности в популярных проектах с открытым исходным кодом, включая WordPress, Joomla, Magento, phpBB, Moodle и Roundcube.[7] В отличие от версии с открытым исходным кодом, коммерческая версия поддерживает все версии Java (до 11), PHP (до 7) и Node.js, отраслевые стандарты, такие как OWASP Топ 10, ASVS, CWE, SANS 25 и PCI-DSS, и может быть интегрирован в жизненный цикл разработки программного обеспечения. RIPS доступен как локальное программное обеспечение и, как Программное обеспечение как сервис.

Смотрите также

Рекомендации

  1. ^ «MOPS Submission 09: RIPS - статический анализатор исходного кода уязвимостей в PHP-скриптах« Месяц безопасности PHP ». Php-security.org. 2010-05-24. Получено 2016-08-10.
  2. ^ «Загрузка RIPS с открытым исходным кодом». SourceForge.net. Получено 2016-08-10.
  3. ^ «RIPS - лидер технологий в области тестирования безопасности статических приложений». ripstech.com. 2019-05-07. Получено 2019-05-07.
  4. ^ «Сравнение функций RIPS». SourceForge.net. Получено 2017-03-19.
  5. ^ "Премия защиты Интернета". internetdefenseprize.org. Получено 2017-03-19.
  6. ^ «RIPS - наш подход к тестированию безопасности статических приложений». ripstech.com. Получено 2019-05-07.
  7. ^ «Уязвимости, обнаруженные RIPS». ripstech.com. Получено 2017-03-19.