聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

本周三，应用安全测试公司 GrammaTech 公开了旨在检测API 使用错误的开源工具 SWAP Detector。

该工具是受美国国土安全部资助的研究项目的一部分。GrammaTech 认为它对 DevOps 应用安全测试起着很大的作用。

很多软件应用程序依赖于第三方API，开发人员很有必要识别 API 使用错误问题，以免造成安全和可靠性问题。

SWAP Detector 分析了代码中的函数调用，目的是检测出潜在的交换参数错误。如检测出这类错误，则用户会收到警告信息且该警告也会获得评分。

该工具可以结合静态分析产品使用，它最初专注于用C和C++ 编写的应用程序，但 GrammaTech 公司认为它也适用于其它编程语言，尤其是解释性而非编译型语言。该公司指出，“SWAP Detector 使用多种错误检测技术，将它们层叠在一起提高检测的准确性。例如，它对比调用站点中使用的参数名称和相应声明中使用的参数名称。另外，它还使用‘大代码 (Big Code)’技术，应用从大型代码语料库中收集到的‘已知的良好’API使用模式的统计信息，并将统计上异常的用法标记为潜在错误。为了改进所报告警告信息的精确性，SWAP Detector 对这两种技术的输出均采用了减少误报的策略。”

工具地址请见：https://github.com/GrammaTech/swap-detector。

 

 

推荐阅读

Stringlifier：Adobe 开源日志清理和凭据暴露检测工具

Facebook 开源 Instagram 的Python 代码静态安全分析工具 Pysa

谷歌开源漏洞扫描器“海啸”，专为大型企业服务

原文链接

https://www.securityweek.com/grammatech-releases-open-source-api-security-tool

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错，就点个 “在看” 吧~