1. Flawfinder
Flawfinder是一款开源的关于C/C++静态扫描分析工具,其根据内部字典数据库进行静态搜索,匹配简单的缺陷与漏洞。
官网:https://dwheeler.com/flawfinder/#downloading
2. Flawfinder的安装
由于历史原因,Python有两个大的版本分支,Python2和Python3,又由于一些库只支持某个版本分支,所以需要在电脑上同时安装Python2和Python3。对于Flawfinder而言,其是基于 Python2 实现的一款工具,因此其安装及执行均需要在Python2环境下进行,但目前开发中更多地是在使用Python3进行软件开发,所以需要对两个版本的Python进行兼容。
在Windows系统下,不论python2还是python3,python可执行文件都叫python.exe。在cmd下输入python得到的版本号取决于环境变量里哪个版本的python路径更靠前,其在windows中是按照顺序查找的。比如环境变量里的顺序是:
如果想用python2运行一个脚本,又想用python3运行另一个脚本,需要怎么做?来回改环境变量显然很麻烦。
有两种方法可以对其进行区分。
1) 把两个python.exe进行改名,一个改成python2.exe,一个改成python3.exe。
2)借用py的一个参数来调用不同版本的Python。即,
- py -2 调用Python2
- py -3 调用的是Python3
在这种方式下,对于Python扩展包的安装也可以进行区分开来,在各自的环境下进行安装。
当需要python2的pip时:
`py -2 -m pip install xxx`
当需要python3的pip时:
` py -3 -m pip install xxx`
即,安装Flawfinder时,需要在Python2环境下,运行:
`py -2 -m pip install flawfinder-2.0.15-py2.py3-none-any.whl`
“flawfinder-2.0.15-py2.py3-none-any.whl”镜像文件可通过附件进行下载,也可以自行在官网下载最新版本。
3. Flawfinder的使用
1)将flawfinder文件放在被扫描文件的同级目录下。
2)在Python2的环境下执行:
`py -2 flawfinder -m 1 > ****`
即可对相应代码进行扫描检测。