一、说明
代码审计工具看来还是比较难做,一是开源的代码审计工具少,二是原本的一些开源审计工具很多都不更新甚至不能使用了。
VCG支持审计C++、Java、C#、PHP和VB,但其“审计”基本相当于函数查找,比如如果找到strcpy等可能引起溢出的函数就在报告中列出来,并没有做进一步分析。
总的而言聊胜于无吧,VCG毕竟是少数还能用的开源审计工具之一了。
二、安装使用
2.1 下载
下载地址:https://sourceforge.net/projects/visualcodegrepp/?source=directory
2.2 安装
双击下载的安装程序
选择安装目录
确认安装
完成安装
2.3 使用
2.3.1 启动VCG
通过VCG自通创建的快捷方式或到安装路径下双击启动VCG,界面如下
2.3.2 指定要审计的项目所用的编程语言
我这里也以C++项目为例,默认就是C++可以不用指定所以我这里可以不用指定,但对于Java等其他语言的项目如果不指定那在下一步中是加载不进文件的。
2.3.3 加载审计文件
File----New Target Directory选择自己要进行代码审计的目录(如是是单个文件也可以使用下方的New Target File)
选定后如下图所示,要审计的文件会加载到Target Files选项卡中
2.3.4 开始审计
Scan----Full Scan
审计完成后VCG会自动切换到Results选项卡,该选项卡展示所有VCG审计出的问题。开头的MEDIUM等是问题评级,后边和下边是问题的具体描述。
2.3.5 保存审计结果
如果审计的代码很多,报的问题很多可以将审计结果保存,以便下次导入就能查看而不用重新审计。
File----Export Results as XML即可导出。以后通过下边的Import Results from XML File导入即可在继续Results选项卡中查看问题。
