Yasca, un analizador de código estático multi-lenguaje

Yasca es un programa de código abierto que busca vulnerabilidades de seguridad, revisa la calidad de código, el rendimiento y la conformidad con las mejores prácticas existentes en el código fuente del programa. Básicamente se trata de un juego de herramientas multi-lenguaje de análisis estático.


Yasca puede escanear el código fuente escrito en Java, C/C++, HTML, JavaScript, ASP, ColdFusion, PHP, COBOL, .NET y otros lenguajes. Además puede integrarse fácilmente con otras herramientas como:
Yasca se puede utilizar para escanear determinados tipos de archivos y también contiene muchos escáneres personalizados desarrollados para cada uno de ellos. Es una herramienta en línea de comandos que genera informes en HTML, CSV, XML, SQLite y otros formatos. Es fácilmente extensible a través de una arquitectura basada en plugins, de tal forma que escanear cualquier archivo en particular es tan simple como poner la regla correspondiente o integrarlo con una herramienta externa. Yasca también cuenta con un plugin para expresiones regulares que permite escribir nuevas reglas en menos de un minuto.

Yasca está escrito en PHP y liberado bajo la licencia BSD.

Uso:

Usage: yasca [options] directory
Perform analysis of program source code.

        --debug additional debugging
    -h, --help show this help
    -i, --ignore-ext EXT,EXT ignore these file extensions
                            (default: exe,zip,jpg,gif,png,pdf,class)
        --ignore-file FILE ignore findings from the specified xml file
        --source-required only show findings that have source code available
    -f, --fixes FILE include fixes, written to FILE (default: not included)
                    (EXPERIMENTAL)
    -s, --silent do not show any output
    -v, --version show version information

Examples:
    yasca c:\source_code
    yasca /opt/dev/source_code
    yasca -o c:\output.csv --report CSVReport "c:\foo bar\quux"

Puedes descargar Yasca aquí:
yasca-2.1.zip

O leer más aquí.

Fuente: Yasca – Multi-Language Static Analysis Toolset

Comentarios