Ubuntu Online, Fedora Online, Windows online emulator അല്ലെങ്കിൽ MAC OS ഓൺലൈൻ എമുലേറ്റർ എന്നിങ്ങനെയുള്ള ഞങ്ങളുടെ ഒന്നിലധികം സൗജന്യ ഓൺലൈൻ വർക്ക്സ്റ്റേഷനുകളിലൊന്ന് ഉപയോഗിച്ച് OnWorks സൗജന്യ ഹോസ്റ്റിംഗ് ദാതാവിൽ പ്രവർത്തിപ്പിക്കാവുന്ന കമാൻഡ് ഫ്ലോഫൈൻഡറാണിത്.
പട്ടിക:
NAME
flawfinder - സോഴ്സ് കോഡിൽ സാധ്യതയുള്ള സുരക്ഷാ പിഴവുകൾ ("ഹിറ്റുകൾ") ലെക്സിക്കായി കണ്ടെത്തുക
സിനോപ്സിസ്
പിഴവ് കണ്ടെത്തുന്നയാൾ [--സഹായിക്കൂ|-h] [--പതിപ്പ്] [--ലിസ്റ്റുകൾ]
[--അനുവദിക്കുക ലിങ്ക്] [--followdotdir] [--നോലിങ്ക്]
[--patch=ഫയലിന്റെ പേര്|-P ഫയലിന്റെ പേര്]
[--ഇൻപുട്ടുകൾ|-I] [ --minlevel=X | -m X ] [--തെറ്റായ|-F]
[--ഒരിക്കലും അവഗണിക്കരുത്|-n]
[--regex=PATTERN | -e PATTERN]
[--സന്ദർഭം|-c] [--നിരകൾ|-C] [--ഡാറ്റ മാത്രം|-D] [--html|-H] [--ഉടനെ|-i]
[--ഒറ്റ വരി|-S] [--സമയം ഒഴിവാക്കുക] [--നിശബ്ദമായി|-Q]
[--loadhitlist=F] [--savehitlist=F] [--diffhitlist=F]
[--] [ ഉറവിടം കോഡ് ഫയല് or ഉറവിടം വേര് ഡയറക്ടറി ]+
വിവരണം
Flawfinder C/C++ സോഴ്സ് കോഡിലൂടെ സുരക്ഷാ പിഴവുകൾക്കായി തിരയുന്നു. ലേക്ക്
ഫ്ലാഫൈൻഡർ പ്രവർത്തിപ്പിക്കുക, ഡയറക്ടറികളുടെയോ ഫയലുകളുടെയോ ഒരു ലിസ്റ്റ് ഫ്ലോഫൈൻഡറിന് നൽകുക. ഓരോ ഡയറക്ടറിക്കും
നൽകിയിരിക്കുന്നത്, ആ ഡയറക്ടറിയിൽ C/C++ ഫയൽനാമ വിപുലീകരണങ്ങളുള്ള എല്ലാ ഫയലുകളും (അതിന്റെയും
ഉപഡയറക്ടറികൾ, ആവർത്തനമായി) പരിശോധിക്കും. അതിനാൽ, മിക്ക പ്രോജക്റ്റുകൾക്കും, ലളിതമായി നൽകുക
സോഴ്സ് കോഡിന്റെ ഏറ്റവും ഉയർന്ന ഡയറക്ടറിയുടെ പേര് fawfinder (ഇപ്പോഴത്തേതിന് ``.'' ഉപയോഗിക്കുക
ഡയറക്ടറി), പ്രോജക്റ്റിന്റെ എല്ലാ C/C++ സോഴ്സ് കോഡും ഫ്ലോഫൈൻഡർ പരിശോധിക്കും. നിങ്ങൾ എങ്കിൽ
ഉണ്ടാകണമെന്ന് മാത്രം മാറ്റങ്ങൾ അവലോകനം ചെയ്തു, ആ മാറ്റങ്ങളുടെ ഏകീകൃത വ്യത്യാസം സംരക്ഷിക്കുക (GNU സൃഷ്ടിച്ചത്
ഒരു പാച്ച് ഫയലിൽ "diff -u" അല്ലെങ്കിൽ "svn diff" അല്ലെങ്കിൽ "git diff") --patch (-P) ഓപ്ഷൻ ഉപയോഗിക്കുക.
അപകടസാധ്യത അനുസരിച്ച് തരംതിരിച്ച `ഹിറ്റുകളുടെ' (സാധ്യതയുള്ള സുരക്ഷാ പിഴവുകൾ) ഒരു ലിസ്റ്റ് Flawfinder നിർമ്മിക്കും; ദി
ഏറ്റവും അപകടകരമായ ഹിറ്റുകൾ ആദ്യം കാണിക്കുന്നു. റിസ്ക് ലെവൽ ചതുര ബ്രാക്കറ്റിനുള്ളിൽ കാണിക്കുകയും വ്യത്യാസപ്പെടുകയും ചെയ്യുന്നു
0 മുതൽ, വളരെ ചെറിയ അപകടസാധ്യത, 5 വരെ, വലിയ അപകടസാധ്യത. ഈ അപകട നിലയെ മാത്രമല്ല ആശ്രയിക്കുന്നത്
ഫംഗ്ഷൻ, എന്നാൽ ഫംഗ്ഷന്റെ പരാമീറ്ററുകളുടെ മൂല്യങ്ങളിൽ. ഉദാഹരണത്തിന്, സ്ഥിരം
പല സന്ദർഭങ്ങളിലും അവയിലും സ്ട്രിംഗുകൾ പൂർണ്ണമായും വേരിയബിൾ സ്ട്രിംഗുകളേക്കാൾ അപകടസാധ്യത കുറവാണ്
സന്ദർഭങ്ങളിൽ ഹിറ്റിന് അപകടസാധ്യത കുറവായിരിക്കും. ഗെറ്റ്ടെക്സ്റ്റിനെക്കുറിച്ച് ഫ്ലോഫൈൻഡറിന് അറിയാം (ഒരു സാധാരണ
ഇന്റർനാഷണലൈസ്ഡ് പ്രോഗ്രാമുകൾക്കായുള്ള ലൈബ്രറി) കൂടാതെ കടന്നുപോകുന്ന നിരന്തരമായ സ്ട്രിംഗുകൾ കൈകാര്യം ചെയ്യും
അവർ സ്ഥിരമായ ചരടുകൾ പോലെ വാചകം; ഇത് തെറ്റായ ഹിറ്റുകളുടെ എണ്ണം കുറയ്ക്കുന്നു
അന്തർദേശീയ പരിപാടികൾ. Flawfinder _T() എന്നിവയ്ക്കൊപ്പം സമാനമായ കാര്യങ്ങൾ ചെയ്യും
_TEXT(), അന്തർദേശീയ പ്രോഗ്രാമുകൾ കൈകാര്യം ചെയ്യുന്നതിനുള്ള സാധാരണ മൈക്രോസോഫ്റ്റ് മാക്രോകൾ. ഫ്ലോഫൈൻഡർ
കമന്റുകൾക്കും സ്ട്രിംഗുകൾക്കും ഉള്ളിലെ മിക്ക വാചകങ്ങളും ശരിയായി അവഗണിക്കുന്നു. സാധാരണയായി ഫ്ളോഫൈൻഡർ എല്ലാം കാണിക്കുന്നു
റിസ്ക് ലെവലിൽ കുറഞ്ഞത് 1 എങ്കിലും ഹിറ്റുകൾ, എന്നാൽ നിങ്ങൾക്ക് കാണിക്കാൻ മാത്രം --minlevel ഓപ്ഷൻ ഉപയോഗിക്കാം
നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ ഉയർന്ന അപകടസാധ്യതയുള്ള ലെവലുകൾ. ഹിറ്റ് വിവരണങ്ങളും പ്രസക്തമായ കോമൺ ശ്രദ്ധിക്കുക
താഴെ ചർച്ച ചെയ്തതുപോലെ, പരാൻതീസിസിലെ ബലഹീനത കണക്കാക്കൽ (CWE) ഐഡന്റിഫയർ(കൾ). ഫ്ലോഫൈൻഡർ
ഔദ്യോഗികമായി CWE-അനുയോജ്യമാണ്.
ഓരോ ഹിറ്റും യഥാർത്ഥത്തിൽ ഒരു സുരക്ഷാ കേടുപാടുകളല്ല, എല്ലാ സുരക്ഷാ അപകടങ്ങളും അല്ല
അനിവാര്യമായും കണ്ടെത്തി. എന്നിരുന്നാലും, കണ്ടെത്തുന്നതിനും നീക്കം ചെയ്യുന്നതിനുമുള്ള ഒരു സഹായമായിരിക്കും ഫ്ളോഫൈൻഡർ
സുരക്ഷാ വീഴ്ചകൾ. ഫ്ലോഫൈൻഡർ ഉപയോഗിക്കുന്നതിനുള്ള ഒരു പൊതു മാർഗ്ഗം ആദ്യം ഫ്ലോഫൈൻഡർ പ്രയോഗിക്കുക എന്നതാണ്
ഒരു കൂട്ടം സോഴ്സ് കോഡ്, ഏറ്റവും അപകടസാധ്യതയുള്ള ഇനങ്ങൾ പരിശോധിക്കുക. തുടർന്ന്, പരിശോധിക്കാൻ --ഇൻപുട്ടുകൾ ഉപയോഗിക്കുക
ഇൻപുട്ട് ലൊക്കേഷനുകൾ, കൂടാതെ നിയമപരവും സുരക്ഷിതവുമായ ഇൻപുട്ട് മൂല്യങ്ങൾ മാത്രമാണോ ഉള്ളതെന്ന് ഉറപ്പാക്കാൻ പരിശോധിക്കുക
വിശ്വസനീയമല്ലാത്ത ഉപയോക്താക്കളിൽ നിന്ന് സ്വീകരിച്ചു.
നിങ്ങൾ ഒരു പ്രോഗ്രാം ഓഡിറ്റ് ചെയ്തുകഴിഞ്ഞാൽ, യഥാർത്ഥത്തിൽ മികച്ചതായ സോഴ്സ് കോഡ് ലൈനുകൾ നിങ്ങൾക്ക് അടയാളപ്പെടുത്താനാകും
വ്യാജ മുന്നറിയിപ്പുകൾ ഉണ്ടാക്കുക, അങ്ങനെ തെറ്റ് കണ്ടെത്തുന്നയാൾ അവരെക്കുറിച്ച് പരാതിപ്പെടുന്നത് നിർത്തും. അടയാളപ്പെടുത്താൻ എ
ലൈനിലൂടെ ഈ മുന്നറിയിപ്പുകൾ അടിച്ചമർത്തപ്പെടും, ഒന്നുകിൽ പ്രത്യേകം ഫോർമാറ്റ് ചെയ്ത അഭിപ്രായം ഇടുക
അതേ വരി (സോഴ്സ് കോഡിന് ശേഷം) അല്ലെങ്കിൽ എല്ലാം തന്നെ മുമ്പത്തെ വരിയിൽ. അഭിപ്രായം
ഇനിപ്പറയുന്ന രണ്ട് ഫോർമാറ്റുകളിൽ ഒന്ന് ഉണ്ടായിരിക്കണം:
· // Flawfinder: അവഗണിക്കുക
· /* പിഴവ് കണ്ടെത്തുന്നയാൾ: അവഗണിക്കുക */
അനുയോജ്യതയ്ക്കായി, നിങ്ങൾക്ക് ഇവയിൽ "Flawfinder:" പകരം "ITS4:" അല്ലെങ്കിൽ "RATS:" നൽകാം
പ്രത്യേകം ഫോർമാറ്റ് ചെയ്ത അഭിപ്രായങ്ങൾ. അത്തരം വരികൾ തെറ്റാകാൻ സാധ്യതയുള്ളതിനാൽ, നിങ്ങൾക്ക് ഉപയോഗിക്കാം
--neverignore ഓപ്ഷൻ, അത് ഫ്ലോഫൈൻഡറിന് എന്തുതന്നെയായാലും ഒരു വരിയും അവഗണിക്കില്ല
അഭിപ്രായ നിർദ്ദേശങ്ങൾ പറയുന്നു (കൂടുതൽ ആശയക്കുഴപ്പമുണ്ടാക്കുന്ന തരത്തിൽ, --neverignore അവഗണിക്കുന്നവരെ അവഗണിക്കുന്നു).
"റൂൾസെറ്റ്" എന്ന് വിളിക്കപ്പെടുന്ന ഒരു ആന്തരിക ഡാറ്റാബേസ് Flawfinder ഉപയോഗിക്കുന്നു; റൂൾസെറ്റ് തിരിച്ചറിയുന്നു
സുരക്ഷാ പിഴവുകളുടെ സാധാരണ കാരണമായ പ്രവർത്തനങ്ങൾ. സ്റ്റാൻഡേർഡ് റൂൾസെറ്റിൽ വലിയവ ഉൾപ്പെടുന്നു
പൊതുവായ പ്രശ്നങ്ങൾ ഉൾപ്പെടെ, ഏതെങ്കിലും ഒന്നിനെ ബാധിക്കാൻ സാധ്യതയുള്ള വിവിധ പ്രശ്നങ്ങളുടെ എണ്ണം
C/C++ പ്രോഗ്രാമും അതുപോലെ നിരവധി നിർദ്ദിഷ്ട Unix-പോലുള്ള വിൻഡോസ് ഫംഗ്ഷനുകളും
പ്രത്യേകിച്ച് പ്രശ്നമുള്ളത്. --listrules ഐച്ഛികം നിലവിലെ നിയമങ്ങളുടെ ലിസ്റ്റ് റിപ്പോർട്ടുചെയ്യുന്നു
അവരുടെ ഡിഫോൾട്ട് റിസ്ക് ലെവലുകൾ. മുകളിൽ സൂചിപ്പിച്ചതുപോലെ, നൽകിയിരിക്കുന്നതിൽ എല്ലാ സാധ്യതയുള്ള സുരക്ഷാ പിഴവുകളും കണ്ടെത്തി
സോഴ്സ് കോഡ് ഫയലിനെ (റൂൾസെറ്റിലെ ഒരു എൻട്രിയുമായി പൊരുത്തപ്പെടുന്ന) ഒരു ``ഹിറ്റ്,'' എന്ന് വിളിക്കുന്നു.
പ്രോഗ്രാമിന്റെ ഏതെങ്കിലും പ്രത്യേക ഓട്ടത്തിനിടയിൽ കണ്ടെത്തുന്ന ഹിറ്റുകളെ ``ഹിറ്റ്ലിസ്റ്റ്" എന്ന് വിളിക്കുന്നു
സേവ് ചെയ്യാം (--savehitlist ഉപയോഗിച്ച്), വീണ്ടും പ്രദർശിപ്പിക്കുന്നതിനായി വീണ്ടും വീണ്ടും ലോഡുചെയ്യാം (--loadhitlist ഉപയോഗിച്ച്), കൂടാതെ
മറ്റൊരു റണ്ണിൽ നിന്ന് വ്യത്യസ്തമായ ഹിറ്റുകൾ മാത്രമേ നിങ്ങൾക്ക് കാണിക്കാൻ കഴിയൂ (--diffhitlist ഉപയോഗിച്ച്).
Flawfinder ഒരു ലളിതമായ ഉപകരണമാണ്, ഇത് ചില അടിസ്ഥാന ഗുണങ്ങളിലേക്കും ദോഷങ്ങളിലേക്കും നയിക്കുന്നു. Flawfinder പ്രവർത്തിക്കുന്നു
ലളിതമായ ലെക്സിക്കൽ ടോക്കണൈസേഷൻ ചെയ്യുന്നതിലൂടെ (അഭിപ്രായങ്ങൾ ഒഴിവാക്കുകയും സ്ട്രിംഗുകൾ ശരിയായി ടോക്കണൈസുചെയ്യുകയും ചെയ്യുക),
ഡാറ്റാബേസിലേക്കുള്ള ടോക്കൺ പൊരുത്തങ്ങൾക്കായി തിരയുന്നു (പ്രത്യേകിച്ച് ഫംഗ്ഷൻ കോളുകൾ കണ്ടെത്താൻ).
Flawfinder RATS, ITS4 എന്നിവയ്ക്ക് സമാനമാണ്, ഇത് ലളിതമായ ലെക്സിക്കൽ ടോക്കണൈസേഷനും ഉപയോഗിക്കുന്നു.
അപകടസാധ്യത കണക്കാക്കാൻ ഫംഗ്ഷൻ പാരാമീറ്ററുകളുടെ വാചകം Flawfinder പരിശോധിക്കുന്നു. വ്യത്യസ്തമായി
സ്പ്ലിന്റ്, ജിസിസിയുടെ മുന്നറിയിപ്പ് ഫ്ലാഗുകൾ, ക്ലാങ്, ഫ്ലോഫൈൻഡർ തുടങ്ങിയ ഉപകരണങ്ങൾ അല്ല ഉപയോഗിക്കുക അല്ലെങ്കിൽ ഉണ്ടായിരിക്കുക
തിരയുമ്പോൾ നിയന്ത്രണ ഫ്ലോ, ഡാറ്റ ഫ്ലോ, അല്ലെങ്കിൽ ഡാറ്റ തരങ്ങളെ കുറിച്ചുള്ള വിവരങ്ങളിലേക്കുള്ള ആക്സസ്
സാധ്യതയുള്ള കേടുപാടുകൾ അല്ലെങ്കിൽ അപകടസാധ്യതയുടെ അളവ് കണക്കാക്കൽ. അങ്ങനെ, ഫ്ളോഫൈൻഡർ ചെയ്യും
അപകടസാധ്യതകൾക്കായി നിരവധി തെറ്റായ പോസിറ്റീവുകൾ സൃഷ്ടിക്കുകയും പലതും റിപ്പോർട്ട് ചെയ്യുന്നതിൽ പരാജയപ്പെടുകയും ചെയ്യുന്നു
പരാധീനതകൾ. മറുവശത്ത്, ഫ്ലോഫൈൻഡറിന് പ്രോഗ്രാമുകളിലെ കേടുപാടുകൾ കണ്ടെത്താൻ കഴിയും
നിർമ്മിക്കാനോ ബന്ധിപ്പിക്കാനോ കഴിയില്ല. ഇത് പലപ്പോഴും പ്രവർത്തിക്കാൻ കഴിയാത്ത പ്രോഗ്രാമുകളിൽ പ്രവർത്തിക്കാൻ കഴിയും
സമാഹരിച്ചത് (കുറഞ്ഞത് നിരൂപകന്റെ ഉപകരണങ്ങൾ വഴി). ഫ്ലോഫൈൻഡറും ആശയക്കുഴപ്പത്തിലാകുന്നില്ല
മാക്രോ നിർവചനങ്ങളും കൂടുതൽ സങ്കീർണ്ണമായ ടൂളുകൾക്ക് പ്രശ്നമുള്ള മറ്റ് വിചിത്രതകളും.
സ്റ്റാറ്റിക് അനാലിസിസ് ടൂളുകളുടെ ലളിതമായ ആമുഖമായി Flawfinder ഉപയോഗപ്രദമാകും
പൊതുവായത്, കാരണം ഇത് ഉപയോഗിക്കാൻ തുടങ്ങുന്നത് എളുപ്പവും മനസ്സിലാക്കാൻ എളുപ്പവുമാണ്.
കമാൻഡ് ലൈനിൽ നൽകിയിരിക്കുന്ന ഏത് ഫയൽനാമവും പരിശോധിക്കും (അതിന് സാധാരണ ഇല്ലെങ്കിലും
C/C++ ഫയൽനാമം വിപുലീകരണം); അതിനാൽ നിങ്ങൾക്ക് ഏതെങ്കിലും പ്രത്യേക ഫയലുകൾ പരിശോധിക്കാൻ ഫ്ലോഫൈൻഡറിനെ നിർബന്ധിക്കാം
ആഗ്രഹം. ഡയറക്ടറികൾ ആവർത്തിച്ച് തിരയുമ്പോൾ, ഫ്ലോഫൈൻഡർ തുറന്ന് പരിശോധിക്കുന്നു
C/C++ ഫയൽനാമ വിപുലീകരണങ്ങളുള്ള സാധാരണ ഫയലുകൾ. ഫയലുകൾ ആണെന്ന് Flawfinder അനുമാനിക്കുന്നു
C/C++ ഫയലുകൾക്ക് ".c", ".h", ".ec", ".ecp", ".pgc", ".C", ".cpp", വിപുലീകരണങ്ങൾ ഉണ്ടെങ്കിൽ അവയ്ക്ക്
".CPP", ".cxx", ".cc", ".CC", ".pcc", ".hpp", അല്ലെങ്കിൽ ".H". ഫയലിന്റെ പേര് ``-'' എന്നാണ്
സ്റ്റാൻഡേർഡ് ഇൻപുട്ട്. സുരക്ഷാ പ്രശ്നങ്ങൾ തടയാൻ, പ്രത്യേക ഫയലുകൾ (ഉദാഹരണത്തിന് ഉപകരണ പ്രത്യേക ഫയലുകൾ
കൂടാതെ പേരുള്ള പൈപ്പുകൾ) എല്ലായ്പ്പോഴും ഒഴിവാക്കപ്പെടുന്നു, കൂടാതെ സ്ഥിരസ്ഥിതിയായി പ്രതീകാത്മക ലിങ്കുകൾ ഒഴിവാക്കപ്പെടുന്നു (the
--allowlink ഓപ്ഷൻ പ്രതീകാത്മക ലിങ്കുകളെ പിന്തുടരുന്നു).
ഹിറ്റുകളുടെ പട്ടികയ്ക്ക് ശേഷം ഫലങ്ങളുടെ ഒരു ഹ്രസ്വ സംഗ്രഹമാണ് (ഇത് നീക്കം ചെയ്യാൻ -D ഉപയോഗിക്കുക
വിവരങ്ങൾ). ഇത് ഹിറ്റുകളുടെ എണ്ണം, വിശകലനം ചെയ്ത വരികൾ (wc -l റിപ്പോർട്ട് ചെയ്തതുപോലെ) കാണിക്കും
കോഡിന്റെ ഫിസിക്കൽ സോഴ്സ് ലൈനുകൾ (SLOC) വിശകലനം ചെയ്തു. ഒരു ഫിസിക്കൽ SLOC എന്നത് ശൂന്യമല്ലാത്തതും അല്ലാത്തതുമാണ്
കമന്റ് ലൈൻ. അത് ഓരോ ലെവലിലുമുള്ള ഹിറ്റുകളുടെ എണ്ണം കാണിക്കും; ഉണ്ടാകും എന്ന് ശ്രദ്ധിക്കുക
മിൻലെവലിനേക്കാൾ താഴ്ന്ന ലെവലിൽ ഒരിക്കലും ഹിറ്റ് ആകരുത് (സ്ഥിരമായി 1). അങ്ങനെ, "[0] 0 [1] 9"
ലെവൽ 0-ൽ 0 ഹിറ്റുകൾ റിപ്പോർട്ട് ചെയ്യപ്പെട്ടു, ലെവൽ 1-ൽ 9 ഹിറ്റുകൾ ഉണ്ടായിരുന്നു
അറിയിച്ചു. ഒരു നിശ്ചിത തലത്തിലോ അതിൽ കൂടുതലോ ഉള്ള ഹിറ്റുകളുടെ എണ്ണം ഇത് അടുത്തതായി കാണിക്കും (അതിനാൽ ലെവൽ 3+
ലെവൽ 3, 4, 5 എന്നിവയിലെ ഹിറ്റുകളുടെ ആകെത്തുകയുണ്ട്). അങ്ങനെ, "[0+] 37" എന്ന എൻട്രി
ലെവൽ 0 അല്ലെങ്കിൽ ഉയർന്നതിൽ 37 ഹിറ്റുകൾ ഉണ്ടായിരുന്നു എന്ന് കാണിക്കുന്നു (0+ എൻട്രി എപ്പോഴും ഒരുപോലെ ആയിരിക്കും
മുകളിലെ "ഹിറ്റ്" നമ്പറായി). ഓരോ KSLOC യുടെയും ഹിറ്റുകൾ അടുത്തതായി കാണിക്കുന്നു; ഇത് ഓരോന്നിനും "ലെവൽ അല്ലെങ്കിൽ
ഉയർന്ന" മൂല്യങ്ങൾ 1000 കൊണ്ട് ഗുണിക്കുകയും ഫിസിക്കൽ SLOC കൊണ്ട് ഹരിക്കുകയും ചെയ്യുന്നു. സിംലിങ്കുകൾ ആണെങ്കിൽ
ഒഴിവാക്കി, അവയുടെ എണ്ണം റിപ്പോർട്ട് ചെയ്യുന്നു. ഹിറ്റുകൾ അടിച്ചമർത്തുകയാണെങ്കിൽ ("അവഗണിക്കുക" ഉപയോഗിച്ച്
മുകളിൽ വിവരിച്ചതുപോലെ സോഴ്സ് കോഡ് കമന്റുകളിലെ നിർദ്ദേശം), അടിച്ചമർത്തപ്പെട്ട സംഖ്യ റിപ്പോർട്ടുചെയ്യുന്നു.
റിപ്പോർട്ടിൽ ഉൾപ്പെടുത്തേണ്ട ഏറ്റവും കുറഞ്ഞ റിസ്ക് ലെവൽ പ്രദർശിപ്പിച്ചിരിക്കുന്നു; സ്ഥിരസ്ഥിതിയായി ഇത് 1 ആണ്
(ഇത് മാറ്റാൻ --minlevel ഉപയോഗിക്കുക). പ്രധാനപ്പെട്ട ഓർമ്മപ്പെടുത്തലുകളോടെയാണ് സംഗ്രഹം അവസാനിക്കുന്നത്: എല്ലാ ഹിറ്റുകളുമല്ല
അനിവാര്യമായും ഒരു സുരക്ഷാ അപകടസാധ്യതയാണ്, കൂടാതെ മറ്റ് സുരക്ഷാ അപാകതകളും ഉണ്ടാകാം
ഉപകരണം റിപ്പോർട്ട് ചെയ്തിട്ടില്ല.
GNU GPL ലൈസൻസ് പതിപ്പ് 2 അല്ലെങ്കിൽ അതിനു ശേഷമുള്ള (GPLv2+) കീഴിലാണ് Flawfinder പുറത്തിറക്കുന്നത്.
പൂർണ്ണമായും ഓപ്പൺ സോഴ്സ് അല്ലാത്ത ITS4 എന്ന മറ്റൊരു പ്രോഗ്രാമിന് സമാനമായി Flawfinder പ്രവർത്തിക്കുന്നു
സോഫ്റ്റ്വെയർ (ഓപ്പൺ സോഴ്സ് ഡെഫനിഷനിൽ നിർവചിച്ചിരിക്കുന്നതുപോലെ) അല്ലെങ്കിൽ സ്വതന്ത്ര സോഫ്റ്റ്വെയർ (നിർവചിച്ചിരിക്കുന്നത് പോലെ
സ്വതന്ത്ര സോഫ്റ്റ്വെയർ ഫൗണ്ടേഷൻ). Flawfinder-ന്റെ രചയിതാവ് ITS4-ന്റെ സോഴ്സ് കോഡ് കണ്ടിട്ടില്ല.
ചുരുക്കത്തിലുള്ള TUTORIAL
ഫ്ലോഫൈൻഡർ എങ്ങനെ ഉപയോഗിക്കാം എന്നതിന്റെ ഒരു ചെറിയ ഉദാഹരണം ഇതാ. നിങ്ങൾക്ക് C/C++ ഉണ്ടെന്ന് സങ്കൽപ്പിക്കുക
xyzzy എന്ന് പേരുള്ള ചില പ്രോഗ്രാമുകളുടെ സോഴ്സ് കോഡ് (നിങ്ങൾ എഴുതിയതോ അല്ലാത്തതോ ആയത്), കൂടാതെ
നിങ്ങൾ സുരക്ഷാ തകരാറുകൾക്കായി തിരയുകയാണ് (അതിനാൽ ഉപഭോക്താക്കൾക്ക് മുമ്പായി നിങ്ങൾക്ക് അവ പരിഹരിക്കാനാകും
കേടുപാടുകൾ നേരിടുക). ഈ ട്യൂട്ടോറിയലിനായി, നിങ്ങൾ ഒരു Unix- ഉപയോഗിക്കുന്നുണ്ടെന്ന് ഞാൻ അനുമാനിക്കും.
Linux, OpenBSD അല്ലെങ്കിൽ MacOS X പോലുള്ള സിസ്റ്റം പോലെ.
സോഴ്സ് കോഡ് xyzzy എന്ന ഉപഡയറക്ടറിയിലാണെങ്കിൽ, നിങ്ങൾ ഒരു തുറന്ന് തുടങ്ങും
ടെക്സ്റ്റ് വിൻഡോയും ഫ്ലോഫൈൻഡറിന്റെ ഡിഫോൾട്ട് ക്രമീകരണങ്ങളും ഉപയോഗിച്ച്, പ്രോഗ്രാം വിശകലനം ചെയ്യാനും റിപ്പോർട്ട് ചെയ്യാനും എ
സാധ്യതയുള്ള സുരക്ഷാ കേടുപാടുകളുടെ മുൻഗണനാ പട്ടിക (`കുറവ്'' എന്നത് ഉറപ്പാക്കുന്നു
ഫലങ്ങൾ സ്ക്രീനിൽ തുടരും):
ഫ്ലാഫൈൻഡർ xyzzy | കുറവ്
ഈ സമയത്ത്, നിങ്ങൾ ധാരാളം എൻട്രികൾ കാണും. ഓരോ എൻട്രിക്കും ഒരു ഫയൽനാമം ഉണ്ട്, a
കോളൻ, ഒരു ലൈൻ നമ്പർ, ബ്രാക്കറ്റിലെ ഒരു റിസ്ക് ലെവൽ (അവിടെ 5 ആണ് ഏറ്റവും അപകടസാധ്യതയുള്ളത്), ഒരു വിഭാഗം,
ഫംഗ്ഷന്റെ പേര്, എന്തുകൊണ്ടാണ് ഫോൾഫൈൻഡർ ലൈൻ എ ആണെന്ന് കരുതുന്നത് എന്നതിന്റെ വിവരണം
ദുർബലത. Flawfinder സാധാരണയായി റിസ്ക് ലെവൽ അനുസരിച്ച് അടുക്കുന്നു, അപകടസാധ്യതയുള്ള ഇനങ്ങൾ ആദ്യം കാണിക്കുന്നു;
നിങ്ങൾക്ക് പരിമിതമായ സമയമുണ്ടെങ്കിൽ, ഏറ്റവും അപകടകരമായ ഇനങ്ങളിൽ പ്രവർത്തിക്കാൻ തുടങ്ങുന്നതാണ് നല്ലത്
നിങ്ങളുടെ സമയം തീരുന്നത് വരെ തുടരുക. നിങ്ങൾക്ക് ഡിസ്പ്ലേ അപകടസാധ്യതകളിലേക്ക് പരിമിതപ്പെടുത്തണമെങ്കിൽ a
ചില റിസ്ക് ലെവൽ അല്ലെങ്കിൽ ഉയർന്നത്, --minlevel ഓപ്ഷൻ ഉപയോഗിക്കുക. നിങ്ങൾക്ക് ഒരു ലഭിക്കുകയാണെങ്കിൽ
തെറ്റായ പോസിറ്റീവുകളുടെ അസാധാരണമായ എണ്ണം കാരണം വേരിയബിൾ പേരുകൾ അപകടകരമാണെന്ന് തോന്നുന്നു
ഫംഗ്ഷൻ പേരുകൾ, അവയെക്കുറിച്ചുള്ള റിപ്പോർട്ടുകൾ നീക്കം ചെയ്യാൻ -F ഓപ്ഷൻ ഉപയോഗിക്കുക. മനസ്സിലായില്ലെങ്കിൽ
പിശക് സന്ദേശം, പോലുള്ള പ്രമാണങ്ങൾ കാണുക എഴുത്തു സുരക്ഷിത പ്രോഗ്രാമുകൾ വേണ്ടി ലിനക്സ് ഒപ്പം
യൂണിക്സ് എങ്ങിനെ ⟨http://www.dwheeler.com/secure-programs⟩ എന്ന സ്ഥലത്ത് http://www.dwheeler.com/secure-
സുരക്ഷിത പ്രോഗ്രാമുകൾ എഴുതുന്നതിനെക്കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾ നൽകുന്ന പ്രോഗ്രാമുകൾ.
നിങ്ങൾ പ്രശ്നം തിരിച്ചറിഞ്ഞ് അത് മനസ്സിലാക്കിയാൽ, നിങ്ങൾക്ക് അത് പരിഹരിക്കാനാകും. ഇടയ്ക്കിടെ നിങ്ങൾക്ക് കഴിയും
വിശകലനം വീണ്ടും ചെയ്യാൻ ആഗ്രഹിക്കുന്നു, കാരണം ലൈൻ നമ്പറുകൾ മാറും ഒപ്പം ഉറപ്പാക്കാൻ
പുതിയ കോഡ് ഇതുവരെ മറ്റൊരു അപകടസാധ്യത അവതരിപ്പിക്കുന്നില്ല.
ചില വരികൾ ശരിക്കും ഒരു പ്രശ്നമല്ലെന്ന് നിങ്ങൾ നിർണ്ണയിച്ചിട്ടുണ്ടെങ്കിൽ, നിങ്ങൾക്ക് അത് ഉറപ്പുണ്ടെങ്കിൽ, നിങ്ങൾക്ക് കഴിയും
തൊട്ടുമുമ്പോ കുറ്റകരമായ വരിയിലോ ഒരു കമന്റ് ചേർക്കുക
/* ഫ്ലോഫൈൻഡർ: അവഗണിക്കുക */
ഔട്ട്പുട്ടിൽ അവ കാണിക്കാതിരിക്കാൻ.
നിങ്ങൾ അത് ചെയ്തുകഴിഞ്ഞാൽ, നിങ്ങൾ തിരികെ പോയി പ്രോഗ്രാമിന്റെ ഇൻപുട്ടുകൾക്കായി തിരയണം
പ്രോഗ്രാം അതിന്റെ വിശ്വസനീയമല്ലാത്ത ഏതെങ്കിലും ഇൻപുട്ടുകൾ ശക്തമായി ഫിൽട്ടർ ചെയ്യുന്നുവെന്ന് ഉറപ്പാക്കുക. Flawfinder കഴിയും
ഇതുപോലുള്ള --inputs ഓപ്ഷൻ ഉപയോഗിച്ച് നിരവധി പ്രോഗ്രാം ഇൻപുട്ടുകൾ തിരിച്ചറിയുക:
flawfinder --inputs xyzzy
Flawfinder-ന് ടെക്സ്റ്റ് എഡിറ്റർമാരുമായും സംയോജിത വികസന പരിതസ്ഥിതികളുമായും നന്നായി സംയോജിപ്പിക്കാൻ കഴിയും;
കൂടുതൽ വിവരങ്ങൾക്ക് ഉദാഹരണങ്ങൾ കാണുക.
Flawfinder-ന്റെ HTML പതിപ്പുകൾ സൃഷ്ടിക്കുന്നതുൾപ്പെടെ മറ്റ് നിരവധി ഓപ്ഷനുകൾ ഉൾപ്പെടുന്നു
ഔട്ട്പുട്ട് (മനോഹരമായ ഡിസ്പ്ലേകൾക്ക് ഉപയോഗപ്രദമാണ്). അടുത്ത വിഭാഗം ആ ഓപ്ഷനുകൾ കൂടുതൽ വിവരിക്കുന്നു
വിശദാംശങ്ങൾ.
ഓപ്ഷനുകൾ
Flawfinder-ന് നിരവധി ഓപ്ഷനുകൾ ഉണ്ട്, അവ സ്വന്തമായി നിയന്ത്രിക്കുന്ന ഓപ്ഷനുകളായി ഗ്രൂപ്പുചെയ്യാനാകും
ഡോക്യുമെന്റേഷൻ, ഇൻപുട്ട് ഡാറ്റ തിരഞ്ഞെടുക്കുക, പ്രദർശിപ്പിക്കേണ്ട ഹിറ്റുകൾ തിരഞ്ഞെടുക്കുക, ഔട്ട്പുട്ട് ഫോർമാറ്റ് തിരഞ്ഞെടുക്കുക,
കൂടാതെ ഹിറ്റ്ലിസ്റ്റ് മാനേജ്മെന്റ് നടത്തുക. Flawfinder നിർവചിച്ചിരിക്കുന്ന സ്റ്റാൻഡേർഡ് വാക്യഘടനയെ പിന്തുണയ്ക്കുന്നു
POSIX (ഇഷ്യൂ 7, 2013 പതിപ്പ്) വിഭാഗം ``യൂട്ടിലിറ്റി കൺവെൻഷനുകൾ''. ഇത് ഗ്നുവിനെയും പിന്തുണയ്ക്കുന്നു
ദൈർഘ്യമേറിയ ഓപ്ഷനുകൾ (ഫോമിന്റെ ഇരട്ട-ഡാഷ് ഓപ്ഷനുകൾ --ഓപ്ഷൻ) ൽ നിർവചിച്ചിരിക്കുന്നത് പോലെ ഗ്നു C ലൈബ്രറി
അവലംബം കൈകൊണ്ടുള്ള ``പ്രോഗ്രാം ആർഗ്യുമെന്റ് സിന്റാക്സ് കൺവെൻഷനുകൾ'' കൂടാതെ ഗ്നു കോഡിംഗ് സ്റ്റാൻഡേർഡ്സ്
``കമാൻഡ് ലൈൻ ഇന്റർഫേസുകളുടെ മാനദണ്ഡങ്ങൾ''. ലോംഗ് ഓപ്ഷൻ ആർഗ്യുമെന്റുകൾ ഇങ്ങനെ നൽകാം
``--name=value'' അല്ലെങ്കിൽ ``-name value''. ചില ഓപ്ഷനുകൾ കൂടുതൽ ഉപയോഗിച്ച് മാത്രമേ ആക്സസ് ചെയ്യാൻ കഴിയൂ
വായിക്കാവുന്ന ഗ്നു ലോംഗ് ഓപ്ഷൻ കൺവെൻഷനുകൾ; പൊതുവായ ഓപ്ഷനുകൾ പഴയവരും പിന്തുണയ്ക്കുന്നു
ഒറ്റ-അക്ഷര ഓപ്ഷൻ കൺവെൻഷൻ.
വിവരണക്കുറിപ്പു്
--സഹായിക്കൂ
-h ഉപയോഗ (സഹായം) വിവരങ്ങൾ കാണിക്കുക.
--പതിപ്പ് പതിപ്പ് നമ്പർ കാണിക്കുന്നു (വെറും) പുറത്തുകടക്കുന്നു.
--ലിസ്റ്റുകൾ കൂടുതൽ പരിശോധനയ്ക്ക് കാരണമാകുന്ന നിബന്ധനകൾ (ടോക്കണുകൾ) ലിസ്റ്റ് ചെയ്യുക, അവയുടെ ഡിഫോൾട്ട് റിസ്ക്
ലെവൽ, ഡിഫോൾട്ട് മുന്നറിയിപ്പ് (CWE ഐഡന്റിഫയർ(കൾ) ഉൾപ്പെടെ), എങ്കിൽ
ബാധകം), എല്ലാ ടാബുകളും വേർതിരിച്ചിരിക്കുന്നു. നിബന്ധനകൾ പ്രാഥമികമായി സാധ്യതയുള്ളവയുടെ പേരുകളാണ്-
അപകടകരമായ പ്രവർത്തനങ്ങൾ. റിപ്പോർട്ടുചെയ്ത അപകട നിലയും ചിലർക്കുള്ള മുന്നറിയിപ്പും ശ്രദ്ധിക്കുക
പദം എങ്ങനെയാണെന്നതിനെ ആശ്രയിച്ച് നിർദ്ദിഷ്ട കോഡ് ഡിഫോൾട്ടിൽ നിന്ന് വ്യത്യസ്തമായിരിക്കാം
ഉപയോഗിച്ചു. നിങ്ങൾക്ക് സാധാരണ തലക്കെട്ട് ആവശ്യമില്ലെങ്കിൽ -D ഉപയോഗിച്ച് സംയോജിപ്പിക്കുക. ഫ്ലോഫൈൻഡർ
പതിപ്പ് 1.29 സ്പെയ്സുകളിൽ നിന്ന് ടാബുകളിലേക്ക് സെപ്പറേറ്റർ മാറ്റി, സ്ഥിരസ്ഥിതി ചേർത്തു
മുന്നറിയിപ്പ് ഫീൽഡ്.
തിരഞ്ഞെടുക്കുന്നു ഇൻപുട്ട് ഡാറ്റ
--അനുവദിക്കുക ലിങ്ക് പ്രതീകാത്മക ലിങ്കുകളുടെ ഉപയോഗം അനുവദിക്കുക; സാധാരണയായി പ്രതീകാത്മക ലിങ്കുകൾ ഒഴിവാക്കപ്പെടുന്നു. ചെയ്യരുത്
നിങ്ങൾ മറ്റുള്ളവർ കോഡ് വിശകലനം ചെയ്യുകയാണെങ്കിൽ ഈ ഓപ്ഷൻ ഉപയോഗിക്കുക; അക്രമികൾക്ക് പലതും ചെയ്യാൻ കഴിയും
ഈ ഓപ്ഷൻ പ്രവർത്തനക്ഷമമാക്കിയ ഒരു വിശകലനത്തിന് പ്രശ്നങ്ങൾ ഉണ്ടാക്കുന്ന കാര്യങ്ങൾ. വേണ്ടി
ഉദാഹരണത്തിന്, പോലുള്ള ഫയലുകളിലേക്ക് ഒരു ആക്രമണകാരിക്ക് പ്രതീകാത്മക ലിങ്കുകൾ ചേർക്കാൻ കഴിയും / etc / passwd
(ഫയലിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ ചോർത്തുന്നു) അല്ലെങ്കിൽ ഒരു വൃത്താകൃതിയിലുള്ള ലൂപ്പ് സൃഷ്ടിക്കുക
ഫ്ലോഫൈൻഡർ ``എന്നെന്നേക്കുമായി'' പ്രവർത്തിക്കാൻ കാരണമാകുന്നു. ഇത് പ്രവർത്തനക്ഷമമാക്കുന്നതിലെ മറ്റൊരു പ്രശ്നം
ഒരേ ഫയൽ സിംബോളിക് ഉപയോഗിച്ച് ഒന്നിലധികം തവണ പരാമർശിക്കുകയാണെങ്കിൽ എന്നതാണ് ഓപ്ഷൻ
ലിങ്കുകൾ, അത് ഒന്നിലധികം തവണ വിശകലനം ചെയ്യും (അങ്ങനെ ഒന്നിലധികം തവണ റിപ്പോർട്ട് ചെയ്യപ്പെടും).
ഫ്ലോഫൈൻഡറിൽ ഇതിനകം തന്നെ പ്രതീകാത്മക ലിങ്കുകൾക്കെതിരെ ചില പരിരക്ഷ ഉൾപ്പെടുത്തിയിട്ടുണ്ട്
ഉപകരണ ഫയൽ തരങ്ങൾ പോലുള്ള പ്രത്യേക ഫയൽ തരങ്ങളിലേക്ക് (ഉദാ, /dev/zero അല്ലെങ്കിൽ
സി:\mystuff\com1). ഫ്ലാഫൈൻഡർ പതിപ്പ് 1.01-നും അതിനുമുമ്പും ഇതായിരുന്നു എന്നത് ശ്രദ്ധിക്കുക
സ്ഥിരസ്ഥിതി.
--followdotdir
"" എന്നതിൽ തുടങ്ങുന്ന ഡയറക്ടറികൾ നൽകുക. സാധാരണയായി അത്തരം ഡയറക്ടറികൾ
അവ സാധാരണയായി പതിപ്പ് നിയന്ത്രണ സ്വകാര്യ ഡാറ്റ ഉൾക്കൊള്ളുന്നതിനാൽ അവഗണിച്ചിരിക്കുന്നു (ഉദാ
.git/ അല്ലെങ്കിൽ .svn/), കോൺഫിഗറേഷനുകൾ തുടങ്ങിയവ.
--നോലിങ്ക് അവഗണിച്ചു. ചരിത്രപരമായി ഇത് പ്രതീകാത്മക ലിങ്കുകൾ പിന്തുടരുന്നത് പ്രവർത്തനരഹിതമാക്കി; ഈ പെരുമാറ്റം
ഇപ്പോൾ സ്ഥിരസ്ഥിതിയാണ്.
--patch=പാച്ച് ഫയൽ
-P പാച്ച് ഫയൽ
തിരഞ്ഞെടുത്ത ഫയലുകളോ ഡയറക്ടറികളോ പരിശോധിക്കുക, എന്നാൽ വരികളിൽ മാത്രം ഹിറ്റുകൾ റിപ്പോർട്ട് ചെയ്യുക
നൽകിയിരിക്കുന്ന പാച്ച് ഫയൽ ഉപയോഗിച്ച് ചേർക്കുകയോ പരിഷ്കരിക്കുകയോ ചെയ്യുന്നു. പാച്ച് ഫയൽ a-ൽ ആയിരിക്കണം
അംഗീകൃത ഏകീകൃത ഡിഫ് ഫോർമാറ്റ് (ഉദാ, ഗ്നു "ഡിഫ് -യു പഴയ പുതിയ" ഔട്ട്പുട്ട്,
"svn diff", അല്ലെങ്കിൽ "git diff [commit]"). പാച്ചിൽ ഉണ്ടെന്ന് ഫ്ലാഫൈൻഡർ അനുമാനിക്കുന്നു
ഫയലുകളിൽ ഇതിനകം പ്രയോഗിച്ചു. എന്നതിലേക്കുള്ള മാറ്റങ്ങളും പാച്ച് ഫയലിൽ ഉൾപ്പെടുത്താം
അപ്രസക്തമായ ഫയലുകൾ (അവ അവഗണിക്കപ്പെടും). എന്നതിൽ നൽകിയിരിക്കുന്ന വരി നമ്പറുകൾ
ഏത് ലൈനുകളാണ് മാറ്റിയതെന്ന് നിർണ്ണയിക്കാൻ പാച്ച് ഫയൽ ഉപയോഗിക്കുന്നു, അതിനാൽ നിങ്ങൾക്കുണ്ടെങ്കിൽ
പാച്ച് ഫയൽ സൃഷ്ടിച്ചതുമുതൽ ഫയലുകൾ പരിഷ്കരിച്ചു, പാച്ച് ഫയൽ പുനഃസൃഷ്ടിക്കുക
ആദ്യം. പാച്ച് ഫയലിൽ നൽകിയിരിക്കുന്ന പുതിയ ഫയലുകളുടെ പേരുകൾ സൂക്ഷിക്കുക
അപ്പർ/ലോവർ കേസ്, പാത്ത് പ്രിഫിക്സ്, ഡയറക്ടറി എന്നിവ ഉൾപ്പെടെ കൃത്യമായി പൊരുത്തപ്പെടണം
സെപ്പറേറ്റർ (\ vs. /). ഏകീകൃത ഡിഫ് ഫോർമാറ്റ് മാത്രമേ സ്വീകരിക്കുകയുള്ളൂ (GNU diff, svn
diff, git diff ഔട്ട്പുട്ട് കുഴപ്പമില്ല); നിങ്ങൾക്ക് മറ്റൊരു ഫോർമാറ്റ് ഉണ്ടെങ്കിൽ, വീണ്ടും
ആദ്യം അത് പുനരുജ്ജീവിപ്പിക്കുക. തത്ഫലമായുണ്ടാകുന്ന മാറിയ വരികളിൽ മാത്രം സംഭവിക്കുന്ന ഹിറ്റുകൾ, അല്ലെങ്കിൽ
അവയ്ക്ക് മുകളിലും താഴെയുമായി, റിപ്പോർട്ട് ചെയ്യപ്പെടുന്നു. ഈ ഓപ്ഷൻ സൂചിപ്പിക്കുന്നു
--ഒരിക്കലും അവഗണിക്കരുത്.
തിരഞ്ഞെടുക്കുന്നു ഹിറ്റുകൾ ലേക്ക് പ്രദർശിപ്പിക്കുക
--ഇൻപുട്ടുകൾ
-I പ്രോഗ്രാമിന് പുറത്ത് നിന്ന് ഡാറ്റ നേടുന്ന പ്രവർത്തനങ്ങൾ മാത്രം കാണിക്കുക; ഇതും സജ്ജമാക്കുന്നു
മിനിട്ട് ലെവൽ മുതൽ 0 വരെ.
--minlevel=X
-m X ഹിറ്റ്ലിസ്റ്റിൽ ഉൾപ്പെടുത്തുന്നതിന് ഏറ്റവും കുറഞ്ഞ റിസ്ക് ലെവൽ X ആയി സജ്ജീകരിക്കുക. ഇത് 0 മുതൽ ആകാം (``ഇല്ല
റിസ്ക്'') 5 വരെ (``പരമാവധി അപകടസാധ്യത''); സ്ഥിരസ്ഥിതി 1 ആണ്.
--തെറ്റായ
-F തെറ്റായ പോസിറ്റീവ് ആകാൻ സാധ്യതയുള്ള ഹിറ്റുകൾ ഉൾപ്പെടുത്തരുത്. നിലവിൽ, ഇതിനർത്ഥം
ഫംഗ്ഷൻ പേരുകൾ "(" എന്നിവയ്ക്ക് ശേഷം ഇല്ലെങ്കിൽ അവ അവഗണിക്കപ്പെടും
പ്രതീക ശ്രേണികളുടെ പ്രഖ്യാപനങ്ങൾ ശ്രദ്ധിക്കപ്പെട്ടിട്ടില്ല. അതിനാൽ, നിങ്ങൾ ഒരു വേരിയബിൾ ഉപയോഗിക്കുകയാണെങ്കിൽ
എല്ലായിടത്തും "ആക്സസ്" എന്ന് പേരിട്ടിരിക്കുന്നതിനാൽ, ഇത് ഈ സാധാരണയിലേക്കുള്ള റഫറൻസുകളെ ഇല്ലാതാക്കും
വേരിയബിൾ. ഇത് സ്ഥിരസ്ഥിതിയല്ല, കാരണം ഇതും സാധ്യത വർദ്ധിപ്പിക്കുന്നു
പ്രധാനപ്പെട്ട ഹിറ്റുകൾ നഷ്ടമായി; പ്രത്യേകിച്ചും, # ക്ലോസുകളും കോളുകളും നിർവ്വചിക്കുന്ന ഫംഗ്ഷൻ നാമങ്ങൾ
ഫംഗ്ഷൻ വഴി പോയിന്ററുകൾ നഷ്ടമാകും.
--ഒരിക്കലും അവഗണിക്കരുത്
-n എയിൽ ``അവഗണിക്കുക'' നിർദ്ദേശമുണ്ടെങ്കിൽപ്പോലും, സുരക്ഷാ പ്രശ്നങ്ങൾ ഒരിക്കലും അവഗണിക്കരുത്
അഭിപ്രായം.
--regexp=PATTERN
-e PATTERN
സാധാരണ എക്സ്പ്രഷൻ പാറ്റേൺ പാറ്റേണുമായി പൊരുത്തപ്പെടുന്ന ടെക്സ്റ്റ് ഉപയോഗിച്ച് ഹിറ്റുകൾ മാത്രം റിപ്പോർട്ട് ചെയ്യുക.
ഉദാഹരണത്തിന്, "CWE-120" എന്ന വാചകം അടങ്ങിയ ഹിറ്റുകൾ മാത്രം റിപ്പോർട്ട് ചെയ്യാൻ, ``--regex ഉപയോഗിക്കുക
CWE-120''. ഈ ഓപ്ഷൻ ഫ്ലാഗ് പേരുകൾ grep പോലെയാണ്.
തിരഞ്ഞെടുക്കുന്നു ഔട്ട്പുട്ട് ഫോർമാറ്റ്
--നിരകൾ
-C ഓരോ ഹിറ്റിന്റെയും കോളം നമ്പർ (അതുപോലെ ഫയലിന്റെ പേരും ലൈൻ നമ്പറും) കാണിക്കുക;
ലൈൻ നമ്പറിന് ശേഷം കോളണും കോളം നമ്പറും ചേർത്ത് ഇത് കാണിക്കുന്നു
വരി (ഒരു വരിയിലെ ആദ്യ പ്രതീകം നിര നമ്പർ 1 ആണ്). ഇത് ഉപയോഗപ്രദമാണ്
നിർദ്ദിഷ്ട കോളങ്ങളിലേക്കോ മറ്റുള്ളവയുമായി സംയോജിപ്പിക്കുന്നതിനോ കഴിയുന്ന എഡിറ്റർമാർക്കായി
ടൂളുകൾ (തെറ്റായ പോസിറ്റീവുകൾ കൂടുതൽ ഫിൽട്ടർ ചെയ്യാനുള്ളവ പോലുള്ളവ).
--സന്ദർഭം
-c സന്ദർഭം കാണിക്കുക, അതായത്, "ഹിറ്റ്"/സാധ്യതയുള്ള പിഴവുള്ള വരി. സ്ഥിരസ്ഥിതിയായി
മുന്നറിയിപ്പ് കഴിഞ്ഞയുടനെ ലൈൻ കാണിക്കുന്നു.
--ഡാറ്റ മാത്രം
-D തലക്കെട്ടും അടിക്കുറിപ്പും പ്രദർശിപ്പിക്കരുത്. വെറുതെ കാണാൻ --നിശബ്ദതയ്ക്കൊപ്പം ഇത് ഉപയോഗിക്കുക
ഡാറ്റ തന്നെ.
--html
-H ഔട്ട്പുട്ട് ലളിതമായ ടെക്സ്റ്റിന് പകരം HTML ആയി ഫോർമാറ്റ് ചെയ്യുക.
--ഉടനെ
-i ഹിറ്റുകൾ ഉടനടി പ്രദർശിപ്പിക്കുക (അവസാനം വരെ കാത്തിരിക്കരുത്).
--ഒറ്റ വരി
-S ഓരോ ഹിറ്റിനും ടെക്സ്റ്റ് ഔട്ട്പുട്ടിന്റെ ഒറ്റ വരിയായി പ്രദർശിപ്പിക്കുക. സംവദിക്കാൻ ഉപയോഗപ്രദമാണ്
സമാഹാര ഉപകരണങ്ങൾ ഉപയോഗിച്ച്.
--സമയം ഒഴിവാക്കുക സമയ വിവരം ഒഴിവാക്കുക. ഫ്ലാഫൈൻഡറിന്റെ റിഗ്രഷൻ ടെസ്റ്റുകൾക്ക് ഇത് ഉപയോഗപ്രദമാണ്
അത് തന്നെ, അതിനാൽ എത്ര സമയം വിശകലനം ചെയ്യുന്നു എന്നതിനെ ആശ്രയിച്ച് ഔട്ട്പുട്ട് വ്യത്യാസപ്പെടുന്നില്ല
എടുക്കുന്നു.
--നിശബ്ദമായി
-Q അതേസമയം സ്റ്റാറ്റസ് വിവരങ്ങൾ പ്രദർശിപ്പിക്കരുത് (അതായത്, ഏതൊക്കെ ഫയലുകളാണ് പരിശോധിക്കുന്നത്).
വിശകലനം നടക്കുന്നു.
ഹിറ്റ്ലിസ്റ്റ് മാനേജ്മെന്റ്
--savehitlist=F
തത്ഫലമായുണ്ടാകുന്ന എല്ലാ ഹിറ്റുകളും ("ഹിറ്റ്ലിസ്റ്റ്") F-ലേക്ക് സംരക്ഷിക്കുക.
--loadhitlist=F
ഉറവിട പ്രോഗ്രാമുകൾ വിശകലനം ചെയ്യുന്നതിനുപകരം F-ൽ നിന്ന് ഹിറ്റ്ലിസ്റ്റ് ലോഡുചെയ്യുക. മുന്നറിയിപ്പ്: ചെയ്യുക അല്ല
വിശ്വസനീയമല്ലാത്ത ഉറവിടങ്ങളിൽ നിന്ന് ഹിറ്റ്ലിസ്റ്റുകൾ ലോഡുചെയ്യുക (സുരക്ഷാ കാരണങ്ങളാൽ).
--diffhitlist=F
എഫ്. എഫിൽ ഹിറ്റുകൾ മാത്രം കാണിക്കുക (ലോഡ് ചെയ്തതോ വിശകലനം ചെയ്തതോ) സൃഷ്ടിച്ചതാവാം
മുമ്പ് --savehitlist ഉപയോഗിച്ചിരുന്നു. മുന്നറിയിപ്പ്: ചെയ്യുക അല്ല വിശ്വസനീയമല്ലാത്തതിൽ നിന്ന് വ്യത്യസ്തമായ ഹിറ്റ്ലിസ്റ്റുകൾ
ഉറവിടങ്ങൾ (സുരക്ഷാ കാരണങ്ങളാൽ). --loadhitlist ഓപ്ഷൻ നൽകിയിട്ടില്ലെങ്കിൽ,
ഇത് വിശകലനം ചെയ്ത സോഴ്സ് കോഡ് ഫയലുകളിലെ ഹിറ്റുകൾ കാണിക്കും
മുമ്പ് F-ൽ സംഭരിച്ചിട്ടുണ്ട്. --loadhitlist-നൊപ്പം ഉപയോഗിക്കുകയാണെങ്കിൽ, ഇത് കാണിക്കും
ലോഡ് ചെയ്ത ഹിറ്റ്ലിസ്റ്റിലെ ഹിറ്റുകൾ F-ൽ അല്ല. വ്യത്യാസം അൽഗോരിതം ആണ്
യാഥാസ്ഥിതിക; ഹിറ്റുകൾ അവയ്ക്ക് സമാനമാണെങ്കിൽ മാത്രമേ ``ഒരേ'' ആയി കണക്കാക്കൂ
ഫയലിന്റെ പേര്, ലൈൻ നമ്പർ, കോളത്തിന്റെ സ്ഥാനം, ഫംഗ്ഷൻ നാമം, റിസ്ക് ലെവൽ.
ഉദാഹരണങ്ങൾ
ഫ്ലോഫൈൻഡർ എങ്ങനെ വിളിക്കാം എന്നതിന്റെ വിവിധ ഉദാഹരണങ്ങൾ ഇതാ. ആദ്യ ഉദാഹരണങ്ങൾ വ്യത്യസ്തമായി കാണിക്കുന്നു
ലളിതമായ കമാൻഡ്-ലൈൻ ഓപ്ഷനുകൾ. ടെക്സ്റ്റ് എഡിറ്റർമാർക്കൊപ്പം നന്നായി പ്രവർത്തിക്കുന്നതിനാണ് ഫ്ലോഫൈൻഡർ രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത്
സംയോജിത വികസന പരിതസ്ഥിതികൾ, അതിനാൽ ഫ്ലോഫൈൻഡർ എങ്ങനെ സമന്വയിപ്പിക്കാമെന്ന് അടുത്ത വിഭാഗങ്ങൾ കാണിക്കുന്നു
വിമ്മിലേക്കും ഇമാക്സിലേക്കും.
ലഘുവായ കമാൻഡ്-ലൈൻ ഓപ്ഷനുകൾ
പിഴവ് കണ്ടെത്തുന്നയാൾ /usr/src/linux-3.16
/usr/src/linux-3.16 എന്ന ഡയറക്ടറിയിലെ എല്ലാ C/C++ ഫയലുകളും അതിന്റെ എല്ലാ ഫയലുകളും പരിശോധിക്കുക.
ഉപഡയറക്ടറികൾ (ആവർത്തനപരമായി), കണ്ടെത്തിയ എല്ലാ ഹിറ്റുകളും റിപ്പോർട്ട് ചെയ്യുന്നു. സ്ഥിരസ്ഥിതിയായി
എന്ന് തുടങ്ങുന്ന പേരുകളുള്ള പ്രതീകാത്മക ലിങ്കുകളും ഡയറക്ടറികളും flawfinder ഒഴിവാക്കും
ഒരു കാലം.
പിഴവ് കണ്ടെത്തുന്നയാൾ --minlevel=4 .
നിലവിലെ ഡയറക്ടറിയിലും അതിന്റെ ഉപഡയറക്ടറികളിലും ഉള്ള എല്ലാ C/C++ ഫയലുകളും പരിശോധിക്കുക
(ആവർത്തനപരമായി); ലെവൽ 4-ഉം അതിനുമുകളിലുള്ളതുമായ കേടുപാടുകൾ മാത്രം റിപ്പോർട്ട് ചെയ്യുക (ഏറ്റവും ഉയർന്നത്
റിസ്ക് ലെവലുകൾ).
പിഴവ് കണ്ടെത്തുന്നയാൾ --ഇൻപുട്ടുകൾ mydir
mydir-ലെയും അതിന്റെ ഉപഡയറക്ടറികളിലെയും എല്ലാ C/C++ ഫയലുകളും പരിശോധിക്കുക (ആവർത്തനപരമായി), കൂടാതെ
ഇൻപുട്ടുകൾ എടുക്കുന്ന പ്രവർത്തനങ്ങൾ റിപ്പോർട്ടുചെയ്യുക (അതിനാൽ അവ ഫിൽട്ടർ ചെയ്യുന്നുണ്ടെന്ന് നിങ്ങൾക്ക് ഉറപ്പാക്കാനാകും
ഉചിതമായി ഇൻപുട്ടുകൾ).
പിഴവ് കണ്ടെത്തുന്നയാൾ --ഒരിക്കലും അവഗണിക്കരുത് mydir
mydir എന്ന ഡയറക്ടറിയിലും അതിന്റെ ഉപഡയറക്ടറികളിലും ഉള്ള എല്ലാ C/C++ ഫയലുകളും പരിശോധിക്കുക,
കോഡ് കമന്റുകളിൽ അവഗണിച്ചതിന് അടയാളപ്പെടുത്തിയ ഹിറ്റുകൾ പോലും ഉൾപ്പെടുന്നു.
പിഴവ് കണ്ടെത്തുന്നയാൾ -ക്യു.ഡി mydir
mydir പരിശോധിച്ച് യഥാർത്ഥ ഫലങ്ങൾ മാത്രം റിപ്പോർട്ട് ചെയ്യുക (തലക്കെട്ട് നീക്കം ചെയ്യൽ കൂടാതെ
ഔട്ട്പുട്ടിന്റെ അടിക്കുറിപ്പ്). ഔട്ട്പുട്ട് പൈപ്പ് ചെയ്യപ്പെടുകയാണെങ്കിൽ ഈ ഫോം ഉപയോഗപ്രദമാണ്
കൂടുതൽ വിശകലനത്തിനുള്ള മറ്റ് ഉപകരണങ്ങൾ. -സി (--നിരകൾ) കൂടാതെ -എസ് (--ഒറ്റരേഖ)
നിങ്ങൾ മറ്റ് ഉപകരണങ്ങളിലേക്ക് ഡാറ്റ പൈപ്പ് ചെയ്യുകയാണെങ്കിൽ ഓപ്ഷനുകൾ ഉപയോഗപ്രദമാകും.
പിഴവ് കണ്ടെത്തുന്നയാൾ -ക്യു.ഡി.എസ്.സി mydir
mydir പരിശോധിക്കുക, യഥാർത്ഥ ഫലങ്ങൾ മാത്രം റിപ്പോർട്ട് ചെയ്യുക (തലക്കെട്ടോ അടിക്കുറിപ്പോ ഇല്ല). ഓരോന്നും
ഹിറ്റ് ഒരു വരിയിൽ റിപ്പോർട്ട് ചെയ്യുന്നു, കോളം നമ്പറുകൾ റിപ്പോർട്ടുചെയ്യുന്നു. ഇത് ഒരു ആകാം
നിങ്ങൾ മറ്റ് ടൂളുകളിലേക്ക് ഫ്ലോഫൈൻഡർ ഔട്ട്പുട്ട് നൽകുകയാണെങ്കിൽ ഉപയോഗപ്രദമായ കമാൻഡ്.
പിഴവ് കണ്ടെത്തുന്നയാൾ --നിശബ്ദമായി --html --സന്ദർഭം mydir > results.html
mydir എന്ന ഡയറക്ടറിയിലും അതിന്റെ ഉപഡയറക്ടറികളിലും ഉള്ള എല്ലാ C/C++ ഫയലുകളും പരിശോധിക്കുക
ഫലങ്ങളുടെ HTML ഫോർമാറ്റ് ചെയ്ത പതിപ്പ് നിർമ്മിക്കുക. സോഴ്സ് കോഡ് മാനേജ്മെന്റ്
സിസ്റ്റങ്ങൾ (SourceForge, Savannah പോലുള്ളവ) ഇതുപോലുള്ള ഒരു കമാൻഡ് ഉപയോഗിച്ചേക്കാം.
പിഴവ് കണ്ടെത്തുന്നയാൾ --നിശബ്ദമായി --സേവ്ഹിറ്റ്ലിസ്റ്റ് സംരക്ഷിച്ചു.ഹിറ്റുകൾ *[ch]
നിലവിലെ ഡയറക്ടറിയിലെ എല്ലാ .c, .h ഫയലുകളും പരിശോധിക്കുക. എന്നതിനെക്കുറിച്ച് റിപ്പോർട്ട് ചെയ്യരുത്
പ്രോസസ്സിംഗിന്റെ അവസ്ഥ, ഫലമായുണ്ടാകുന്ന ഹിറ്റ്ലിസ്റ്റ് (എല്ലാ ഹിറ്റുകളുടെയും സെറ്റ്) സംരക്ഷിക്കുക
saved.hits എന്ന ഫയൽ.
പിഴവ് കണ്ടെത്തുന്നയാൾ --diffhitlist സംരക്ഷിച്ചു.ഹിറ്റുകൾ *[ch]
നിലവിലെ ഡയറക്ടറിയിലെ എല്ലാ .c, .h ഫയലുകളും പരിശോധിക്കുക, അതിൽ എന്തെങ്കിലും ഹിറ്റുകൾ കാണിക്കുക
ഇതിനകം saved.hits ഫയലിൽ ഉണ്ടായിരുന്നില്ല. ഇത് കാണിക്കാൻ മാത്രമേ ഉപയോഗിക്കാനാകൂ
ഒരു പരിഷ്കരിച്ച പ്രോഗ്രാമിലെ ``പുതിയ" കേടുപാടുകൾ, saved.hits സൃഷ്ടിച്ചതാണെങ്കിൽ
പ്രോഗ്രാമിന്റെ പഴയ പതിപ്പ് വിശകലനം ചെയ്യുന്നു.
പിഴവ് കണ്ടെത്തുന്നയാൾ --പാച്ച് സമീപകാല പാച്ച് .
നിലവിലെ ഡയറക്ടറി ആവർത്തിച്ച് പരിശോധിക്കുക, എന്നാൽ ഉണ്ടായിരുന്ന വരികൾ മാത്രം റിപ്പോർട്ട് ചെയ്യുക
പേരുള്ള ഇതിനകം പ്രയോഗിച്ച പാച്ച്ഫയലിൽ മാറ്റം വരുത്തുകയോ ചേർക്കുകയോ ചെയ്തു സമീപകാല പാച്ച്.
പിഴവ് കണ്ടെത്തുന്നയാൾ --റെജക്സ് "CWE-120|CWE-126" src /
ഡയറക്ടറി പരിശോധിക്കുക ഉറവിട ആവർത്തിച്ച്, എന്നാൽ CWE-120 അല്ലെങ്കിൽ എവിടെ ഹിറ്റുകൾ മാത്രം റിപ്പോർട്ട് ചെയ്യുക
CWE-126 ബാധകമാണ്.
അഭ്യർത്ഥിക്കുന്നു നിന്ന് വിമ്
ടെക്സ്റ്റ് എഡിറ്റർ വിമ്മിൽ ഫ്ലോഫൈൻഡറിനൊപ്പം നന്നായി പ്രവർത്തിക്കുന്ന ഒരു "ക്വിക്ക്ഫിക്സ്" മെക്കാനിസം ഉൾപ്പെടുന്നു, അതിനാൽ
നിങ്ങൾക്ക് മുന്നറിയിപ്പ് സന്ദേശങ്ങൾ എളുപ്പത്തിൽ കാണാനും പ്രസക്തമായ സോഴ്സ് കോഡിലേക്ക് പോകാനും കഴിയും.
ആദ്യം, ഹിറ്റുകളുടെ ഒരു ലിസ്റ്റ് സൃഷ്ടിക്കുന്നതിന് നിങ്ങൾ ഫ്ലോഫൈൻഡർ അഭ്യർത്ഥിക്കേണ്ടതുണ്ട്, അതിന് രണ്ട് വഴികളുണ്ട്
ഇതു ചെയ്യാൻ. ആദ്യം ഫ്ലോഫൈൻഡർ ആരംഭിക്കുക, തുടർന്ന് (അതിന്റെ ഔട്ട്പുട്ട് ഉപയോഗിച്ച്) അഭ്യർത്ഥിക്കുക എന്നതാണ് ആദ്യ മാർഗം
വിം. രണ്ടാമത്തെ മാർഗം വിം ആരംഭിക്കുക (അല്ലെങ്കിൽ പ്രവർത്തിപ്പിക്കുന്നത് തുടരുക), തുടർന്ന് ഫ്ലോഫൈൻഡർ അഭ്യർത്ഥിക്കുക എന്നതാണ്
(സാധാരണയായി വിമ്മിനുള്ളിൽ നിന്ന്).
ആദ്യ വഴിക്കായി, ഫ്ലോഫൈൻഡർ പ്രവർത്തിപ്പിച്ച് അതിന്റെ ഔട്ട്പുട്ട് ചില FLAWFILE-ൽ സൂക്ഷിക്കുക ("flawfile" എന്ന് പറയുക),
തുടർന്ന് vim അതിന്റെ -q ഓപ്ഷൻ ഉപയോഗിച്ച് വിളിക്കുക, ഇതു പോലെ: "vim -q flawfile". രണ്ടാമത്തെ വഴി
(വിം ആരംഭിച്ചതിന് ശേഷം ഫ്ലോഫൈൻഡർ ആരംഭിക്കുന്നത്) നിരവധി വഴികൾ ചെയ്യാൻ കഴിയും. ഒന്ന് ആവാഹിക്കുക എന്നതാണ്
":!flawfinder-command > FLAWFILE" എന്ന ഷെൽ കമാൻഡ് ഉപയോഗിച്ച് flawfinder, തുടർന്ന് അത് പിന്തുടരുക
":cf FLAWFILE" എന്ന കമാൻഡ്. ഫ്ലോഫൈൻഡർ കമാൻഡ് നിങ്ങളിൽ സൂക്ഷിക്കുക എന്നതാണ് മറ്റൊരു മാർഗം
makefile (പറയുക, "പോരായ്മ" പോലെയുള്ള ഒരു സ്യൂഡോകമാൻഡ്), തുടർന്ന് ":make flaw" റൺ ചെയ്യുക.
ഈ സാഹചര്യങ്ങളിലെല്ലാം, ഫ്ലാഫൈൻഡർ പ്രവർത്തിപ്പിക്കുന്നതിന് നിങ്ങൾക്ക് ഒരു കമാൻഡ് ആവശ്യമാണ്. ഒരു വിശ്വസനീയമായ കമാൻഡ്, ഏത്
ഓരോ ഹിറ്റും അതിന്റേതായ വരിയിൽ (-എസ്) സ്ഥാപിക്കുകയും ആശയക്കുഴപ്പമുണ്ടാക്കുന്ന തലക്കെട്ടുകളും അടിക്കുറിപ്പുകളും നീക്കം ചെയ്യുകയും ചെയ്യുന്നു
അത്, ഇതാണ്:
പിഴവ് കണ്ടെത്തുന്നയാൾ -എസ്.ക്യു.ഡി .
ഫലങ്ങൾ കാണുന്നതിന് നിങ്ങൾക്ക് ഇപ്പോൾ വിവിധ എഡിറ്റിംഗ് കമാൻഡുകൾ ഉപയോഗിക്കാം. ":cn" കമാൻഡ് പ്രദർശിപ്പിക്കുന്നു
അടുത്ത ഹിറ്റ്; ":cN" മുമ്പത്തെ ഹിറ്റ് പ്രദർശിപ്പിക്കുന്നു, കൂടാതെ ":cr" ആദ്യ ഹിറ്റിലേക്ക് മടങ്ങുന്നു.
നിലവിലെ ഹിറ്റുകളുടെ ലിസ്റ്റ് കാണിക്കാൻ ":copen" ഒരു വിൻഡോ തുറക്കും, അതിനെ "ക്വിക്ക്ഫിക്സ്" എന്ന് വിളിക്കുന്നു
window"; ":cclose" ക്വിക്ഫിക്സ് വിൻഡോ അടയ്ക്കും. ഉപയോഗിച്ച വിൻഡോയിലെ ബഫർ ഉണ്ടെങ്കിൽ
മാറ്റി, പിശക് മറ്റൊരു ഫയലിലാണ്, പിശകിലേക്ക് ചാടുന്നത് പരാജയപ്പെടും. നിങ്ങൾ ഇത് ചെയ്യണം
ജാലകത്തിൽ ഒരു ബഫർ ഉണ്ടെന്ന് ഉറപ്പാക്കുക, അത് എയിലേക്ക് ചാടാൻ ശ്രമിക്കുന്നതിന് മുമ്പ് ഉപേക്ഷിക്കാവുന്നതാണ്
പുതിയ ഫയൽ, ഫയൽ സേവ് ചെയ്തുകൊണ്ട് പറയുക; ഇത് ആകസ്മികമായ ഡാറ്റ നഷ്ടം തടയുന്നു.
അഭ്യർത്ഥിക്കുന്നു നിന്ന് emacs
ടെക്സ്റ്റ് എഡിറ്റർ / ഓപ്പറേറ്റിംഗ് സിസ്റ്റം ഇമാക്സിൽ "ഗ്രെപ്പ് മോഡ്", "കംപൈൽ മോഡ്" എന്നിവ ഉൾപ്പെടുന്നു
ഫ്ലോഫൈൻഡറിനൊപ്പം നന്നായി പ്രവർത്തിക്കുന്ന മെക്കാനിസങ്ങൾ, മുന്നറിയിപ്പ് സന്ദേശങ്ങൾ കാണുന്നതും ചാടുന്നതും എളുപ്പമാക്കുന്നു
പ്രസക്തമായ സോഴ്സ് കോഡിലേക്ക്, നിങ്ങൾ കണ്ടെത്തുന്ന എന്തെങ്കിലും പ്രശ്നങ്ങൾ പരിഹരിക്കുക.
ആദ്യം, മുന്നറിയിപ്പ് സന്ദേശങ്ങളുടെ ഒരു ലിസ്റ്റ് സൃഷ്ടിക്കുന്നതിന് നിങ്ങൾ ഫ്ലോഫൈൻഡർ അഭ്യർത്ഥിക്കേണ്ടതുണ്ട്. നിങ്ങൾക്ക് ഉപയോഗിക്കാം
ഈ ലിസ്റ്റ് സൃഷ്ടിക്കാൻ "grep മോഡ്" അല്ലെങ്കിൽ "കംപൈൽ മോഡ്". പലപ്പോഴും "grep മോഡ്" കൂടുതൽ സൗകര്യപ്രദമാണ്;
ഇത് കംപൈൽ മോഡ് സ്പർശിക്കാതെ വിടുന്നു, അതിനാൽ നിങ്ങൾ മാറിയാൽ എളുപ്പത്തിൽ വീണ്ടും കംപൈൽ ചെയ്യാം
എന്തോ. എന്നിരുന്നാലും, നിങ്ങൾക്ക് ഒരു ഹിറ്റിന്റെ കൃത്യമായ കോളം സ്ഥാനത്തേക്ക് പോകണമെങ്കിൽ, കംപൈൽ ചെയ്യുക
മോഡ് കൂടുതൽ സൗകര്യപ്രദമായേക്കാം, കാരണം emacs-ന് ഫ്ലാഫൈൻഡറിന്റെ കോളം ഔട്ട്പുട്ട് ഉപയോഗിക്കാനാകും
പ്രത്യേക കോൺഫിഗറേഷനൊന്നും കൂടാതെ നേരിട്ട് ശരിയായ സ്ഥലത്തേക്ക് പോകുക.
grep മോഡ് ഉപയോഗിക്കുന്നതിന്, "Mx grep" കമാൻഡ് നൽകുക, തുടർന്ന് ആവശ്യമായ ഫ്ലോഫൈൻഡർ നൽകുക
കമാൻഡ്. കംപൈൽ മോഡ് ഉപയോഗിക്കുന്നതിന്, "Mx compile" എന്ന കമാൻഡ് നൽകി ആവശ്യമുള്ളത് നൽകുക
flawfinder കമാൻഡ്. ഇതൊരു മെറ്റാ-കീ കമാൻഡാണ്, അതിനാൽ നിങ്ങൾ മെറ്റാ കീ ഉപയോഗിക്കേണ്ടതുണ്ട്
നിങ്ങളുടെ കീബോർഡ് (ഇത് സാധാരണയായി ESC കീയാണ്). എല്ലാ emacs കമാൻഡുകളും പോലെ, നിങ്ങൾക്ക് ഇത് ആവശ്യമാണ്
"grep" അല്ലെങ്കിൽ "compile" എന്ന് ടൈപ്പ് ചെയ്ത ശേഷം RETURN അമർത്തുക. അതിനാൽ പല സിസ്റ്റങ്ങളിലും grep മോഡ് ആണ്
ESC xgrep RETURN എന്ന് ടൈപ്പ് ചെയ്തുകൊണ്ട് അഭ്യർത്ഥിച്ചു.
അതിനുശേഷം നിങ്ങൾ ഒരു കമാൻഡ് നൽകേണ്ടതുണ്ട്, ആവശ്യമെങ്കിൽ മുമ്പ് ഉണ്ടായിരുന്നതെല്ലാം നീക്കം ചെയ്യുക. എ
വിശ്വസനീയമായ കമാൻഡ് ഇതാണ്:
പിഴവ് കണ്ടെത്തുന്നയാൾ -എസ്.ക്യു.ഡി.സി .
ഈ കമാൻഡ് എല്ലാ ഹിറ്റ് റിപ്പോർട്ടുകളും ഒരൊറ്റ വരിയാക്കുന്നു, ഇത് ടൂളുകൾക്ക് വളരെ എളുപ്പമാണ്
കൈകാര്യം ചെയ്യുക. നിശബ്ദവും ഡാറ്റ മാത്രമുള്ളതുമായ ഓപ്ഷനുകൾ ആവശ്യമില്ലാത്ത മറ്റ് സ്റ്റാറ്റസ് വിവരങ്ങൾ നീക്കം ചെയ്യുന്നു
emacs ഉള്ളിൽ ഉപയോഗിക്കുക. ട്രെയിലിംഗ് കാലയളവ് അർത്ഥമാക്കുന്നത് നിലവിലെ ഡയറക്ടറിയും എല്ലാം എന്നാണ്
പിൻഗാമികൾ C/C++ കോഡിനായി തിരയുകയും പിഴവുകൾക്കായി വിശകലനം ചെയ്യുകയും ചെയ്യുന്നു.
നിങ്ങൾ ഫ്ലോഫൈൻഡർ അഭ്യർത്ഥിച്ചുകഴിഞ്ഞാൽ, അതിന്റെ ഫലങ്ങളിൽ കുതിക്കാൻ നിങ്ങൾക്ക് emacs ഉപയോഗിക്കാം. ദി
കമാൻഡ് Cx ` (Control-x backtick) അടുത്ത മുന്നറിയിപ്പിനായി സോഴ്സ് കോഡ് ലൊക്കേഷൻ സന്ദർശിക്കുന്നു
സന്ദേശം. Cu Cx ` (control-u control-x backtick) തുടക്കം മുതൽ പുനരാരംഭിക്കുന്നു. നിങ്ങൾക്ക് കഴിയും
എന്നതിലെ ഹിറ്റ് സന്ദേശത്തിലേക്ക് നീങ്ങിക്കൊണ്ട് ഏതെങ്കിലും പ്രത്യേക പിശക് സന്ദേശത്തിന്റെ ഉറവിടം സന്ദർശിക്കുക
*കംപൈലേഷൻ* ബഫർ അല്ലെങ്കിൽ *ഗ്രെപ്പ്* ബഫർ, റിട്ടേൺ കീ ടൈപ്പ് ചെയ്യുക. (സാങ്കേതിക കുറിപ്പ്: ൽ
കംപൈലേഷൻ ബഫർ, ഇത് കംപൈൽ-ഗോട്ടോ-എറർ ആവശ്യപ്പെടുന്നു.) നിങ്ങൾക്ക് മൗസ്-2 ക്ലിക്ക് ചെയ്യാനും കഴിയും.
പിശക് സന്ദേശത്തിലെ ബട്ടൺ (നിങ്ങൾ ആദ്യം *സമാഹാരം* ബഫറിലേക്ക് മാറേണ്ടതില്ല).
ഒരു ഹിറ്റിന്റെ നിർദ്ദിഷ്ട നിരകളിലേക്ക് പോകാൻ നിങ്ങൾക്ക് grep മോഡ് ഉപയോഗിക്കണമെങ്കിൽ, നിങ്ങൾ അത് ചെയ്യേണ്ടതുണ്ട്
ഇത് ചെയ്യുന്നതിന് പ്രത്യേകമായി emacs കോൺഫിഗർ ചെയ്യുക. ഇത് ചെയ്യുന്നതിന്, emacs വേരിയബിൾ "grep-regexp- പരിഷ്ക്കരിക്കുക.
alist". ഒരു "grep" കമാൻഡിന്റെ ഔട്ട്പുട്ട് എങ്ങനെ പാഴ്സ് ചെയ്യാമെന്ന് ഈ വേരിയബിൾ Emacs-നോട് പറയുന്നു.
വേരിയബിൾ "compilation-error-regexp-alist" അത് കംപൈലേഷൻ പിശകിന്റെ വിവിധ ഫോർമാറ്റുകൾ പട്ടികപ്പെടുത്തുന്നു
സന്ദേശങ്ങൾ.
അഭ്യർത്ഥിക്കുന്നു നിന്ന് ഇന്റഗ്രേറ്റഡ് വികസനം പരിതസ്ഥിതികൾ (IDEകൾ)
(മറ്റ്) IDE-കൾക്കായി, നിങ്ങളുടെ IDE-യുടെ പ്ലഗ്-ഇന്നുകളുടെ കൂട്ടം പരിശോധിക്കുക.
കോമൺ ബലഹീനത എണ്ണൽ (CWE)
സാധാരണ സോഫ്റ്റ്വെയറിന്റെ ഒരു ഔപചാരിക പട്ടിക അല്ലെങ്കിൽ നിഘണ്ടു ആണ് കോമൺ വീക്ക്നെസ് എന്യൂമറേഷൻ (CWE).
സോഫ്റ്റ്വെയറിന്റെ ആർക്കിടെക്ചർ, ഡിസൈൻ, കോഡ് അല്ലെങ്കിൽ നടപ്പിലാക്കൽ എന്നിവയിൽ സംഭവിക്കാവുന്ന ബലഹീനതകൾ
ചൂഷണം ചെയ്യാവുന്ന സുരക്ഷാ വീഴ്ചകളിലേക്ക് നയിച്ചേക്കാം... ഒരു പൊതു ഭാഷയായി പ്രവർത്തിക്കാൻ സൃഷ്ടിച്ചത്
സോഫ്റ്റ്വെയർ സുരക്ഷാ ബലഹീനതകൾ വിവരിക്കുന്നതിന്'' (http://cwe.mitre.org/about/faq.html). വേണ്ടി
CWE-കളെക്കുറിച്ചുള്ള കൂടുതൽ വിവരങ്ങൾ കാണുക http://cwe.mitre.org.
Flawfinder CWE-യെ പിന്തുണയ്ക്കുകയും ഔദ്യോഗികമായി CWE-അനുയോജ്യവുമാണ്. സാധാരണയായി ഹിറ്റ് വിവരണങ്ങൾ
പരാൻതീസിസിൽ പ്രസക്തമായ ഒരു കോമൺ വീക്ക്നസ് എൻയുമറേഷൻ (CWE) ഐഡന്റിഫയർ ഉൾപ്പെടുത്തുക
പ്രസക്തമായ CWE ആയി അറിയപ്പെടുന്നു. ഉദാഹരണത്തിന്, ബഫറുമായി ബന്ധപ്പെട്ട പല ഹിറ്റുകളും പരാമർശിക്കുന്നു
CWE-120, ``ഇൻപുട്ടിന്റെ വലുപ്പം പരിശോധിക്കാതെയുള്ള ബഫർ കോപ്പി'' എന്നതിനായുള്ള CWE ഐഡന്റിഫയർ (അക്ക
``ക്ലാസിക് ബഫർ ഓവർഫ്ലോ''). ചില സന്ദർഭങ്ങളിൽ ഒന്നിലധികം CWE ഐഡന്റിഫയറുകൾ പട്ടികപ്പെടുത്തിയേക്കാം.
HTML റിപ്പോർട്ടിൽ MITRE-ൽ ഹോസ്റ്റുചെയ്തിരിക്കുന്ന CWE നിർവചനങ്ങളിലേക്കുള്ള ഹൈപ്പർടെക്സ്റ്റ് ലിങ്കുകളും ഉൾപ്പെടുന്നു. ഇൻ
ഈ രീതിയിൽ, CWE-ഔട്ട്പുട്ട് ആവശ്യകതകൾ നിറവേറ്റുന്നതിനാണ് ഫ്ലാഫൈൻഡർ രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത്.
25ലെ CWE/SANS ടോപ്പ് 2011 പട്ടികയിൽ ഫ്ലോഫൈൻഡർ റിപ്പോർട്ട് ചെയ്ത പല CWE-കളും തിരിച്ചറിഞ്ഞിട്ടുണ്ട്.
(http://cwe.mitre.org/top25/). ഈ ലിസ്റ്റിൽ CWE-കൾക്കായി തിരയാൻ പലരും ആഗ്രഹിക്കും,
CWE-120 (ക്ലാസിക് ബഫർ ഓവർഫ്ലോ), Flowfinder ഒരു CWE-ലേക്ക് മാപ്പ് ചെയ്യുമ്പോൾ
ഒരു മികച്ച 25 ഇനത്തേക്കാൾ പൊതുവായത്, അത് കൂടുതൽ പൊതുവായത്: കൂടുതൽ പ്രത്യേകം (ഉദാ,
CWE-119:CWE-120), ഇവിടെ കൂടുതൽ പൊതുവായത് യഥാർത്ഥ മാപ്പിംഗ് ആണ്. ഫ്ലോഫൈൻഡർ കൂടുതൽ മാപ്പ് ചെയ്യുകയാണെങ്കിൽ
ഒരു മികച്ച 25 ഇനത്തിന്റെ ഒരു പ്രത്യേക കേസായ നിർദ്ദിഷ്ട CWE ഇനം, അത് ഫോമിൽ ലിസ്റ്റ് ചെയ്തിരിക്കുന്നു
top-25/more-specific (ഉദാ, CWE-362/CWE-367), ഇവിടെ യഥാർത്ഥ മാപ്പിംഗ് കൂടുതൽ വ്യക്തമാണ്
CWE പ്രവേശനം. ഒന്നിലധികം CWE-കളിലേക്ക് ഒരേ എൻട്രി മാപ്പ് ചെയ്യുകയാണെങ്കിൽ, CWE-കൾ കോമകളാൽ വേർതിരിക്കപ്പെടുന്നു
(ഇത് പലപ്പോഴും CWE-20, തെറ്റായ ഇൻപുട്ട് മൂല്യനിർണ്ണയം എന്നിവയിൽ സംഭവിക്കുന്നു). ഇത് തിരയുന്നത് ലളിതമാക്കുന്നു
ചില CWEകൾ.
മാപ്പിംഗിനായി CWE പതിപ്പ് 2.7 (23 ജൂൺ 2014-ന് പുറത്തിറങ്ങി) ഉപയോഗിച്ചു. നിലവിലെ സി.ഡബ്ല്യു.ഇ
മാപ്പിംഗുകൾ ഉപകരണത്തിന് നിർണ്ണയിക്കാൻ കഴിയുന്ന ഏറ്റവും നിർദ്ദിഷ്ട CWE തിരഞ്ഞെടുക്കുന്നു. സിദ്ധാന്തത്തിൽ, മിക്ക സി.ഡബ്ല്യു.ഇ
സുരക്ഷാ ഘടകങ്ങൾ (ഉപകരണം തിരയുന്ന ഒപ്പുകൾ/പാറ്റേണുകൾ) സൈദ്ധാന്തികമായി ആകാം
CWE-676-ലേക്ക് മാപ്പ് ചെയ്തു (അപകടസാധ്യതയുള്ള പ്രവർത്തനത്തിന്റെ ഉപയോഗം), എന്നാൽ അത്തരമൊരു മാപ്പിംഗ്
ഉപയോഗപ്രദമായ. അതിനാൽ, കൂടുതൽ നിർദ്ദിഷ്ട മാപ്പിംഗ് തിരഞ്ഞെടുക്കാൻ കഴിയുന്നിടത്ത് തിരഞ്ഞെടുത്തു. ഫ്ലോഫൈൻഡർ
ഒരു ലെക്സിക്കൽ വിശകലന ഉപകരണമാണ്; തൽഫലമായി, അതിനെക്കാൾ കൂടുതൽ വ്യക്തമാക്കുന്നത് അപ്രായോഗികമാണ്
നിലവിൽ നടപ്പിലാക്കിയിരിക്കുന്ന മാപ്പിംഗുകൾ. അധികം വേണ്ടിവരാൻ സാധ്യതയില്ല എന്നർത്ഥം
മാപ്പ് കറൻസി അപ്ഡേറ്റ് ചെയ്യുന്നു; a എന്നതിലേക്ക് പരിഷ്കരിക്കാൻ ആവശ്യമായ വിവരങ്ങൾ ഇതിന് ഇല്ല
CWE മാറ്റങ്ങൾ സാധാരണയായി ബാധിക്കുന്ന വിശദമായ CWE ലെവൽ. CWE ഐഡന്റിഫയറുകളുടെ ലിസ്റ്റ്
"make show-cwes" ഉപയോഗിച്ച് സ്വയമേവ സൃഷ്ടിച്ചതാണ്, അതിനാൽ ഈ ലിസ്റ്റ് ആത്മവിശ്വാസമുണ്ട്
ശരിയാണ്. CWE മാപ്പിംഗ് പ്രശ്നങ്ങൾ എന്തെങ്കിലും കണ്ടെത്തിയാൽ ബഗുകളായി റിപ്പോർട്ട് ചെയ്യുക.
ഫ്ലോഫൈൻഡർ ഈ CWE-ൽ ഒന്ന് കവർ ചെയ്താലും, ഒരു അപകടസാധ്യത കണ്ടെത്തുന്നതിൽ Flawfinder പരാജയപ്പെട്ടേക്കാം.
ബലഹീനതകൾ. അതായത്, അത് ഉൾക്കൊള്ളുന്ന CWE-കൾ ലിസ്റ്റുചെയ്തിരിക്കുന്ന കേടുപാടുകൾ ഫ്ലോഫൈൻഡർ കണ്ടെത്തുന്നു,
കൂടാതെ പല കേസുകളിലും ആ കേടുപാടുകൾ ഇല്ലാത്ത ലൈനുകൾ അത് റിപ്പോർട്ട് ചെയ്യില്ല. അങ്ങനെ, പോലെ
CWE അനുയോജ്യമാക്കാൻ ഉദ്ദേശിക്കുന്ന ഏതൊരു ഉപകരണത്തിനും ആവശ്യമാണ്, ഫ്ലോഫൈൻഡറിന് തെറ്റായ നിരക്ക് ഉണ്ട്
പോസിറ്റീവുകൾ 100% ൽ താഴെയും തെറ്റായ നെഗറ്റീവുകളുടെ നിരക്ക് 100% ൽ താഴെയുമാണ്. Flawfinder ഏതാണ്ട്
ഒരു CWE സെക്യൂരിറ്റി എലമെന്റുമായി (ഒരു ഒപ്പ്/പാറ്റേൺ ഇതുപോലെ) ഒരു പൊരുത്തം കണ്ടെത്തുമ്പോഴെല്ലാം എല്ലായ്പ്പോഴും റിപ്പോർട്ടുചെയ്യുന്നു
അതിന്റെ ഡാറ്റാബേസിൽ നിർവചിച്ചിരിക്കുന്നത്), ചില അവ്യക്തമായ നിർമ്മിതികൾ അത് പരാജയപ്പെടുന്നതിന് കാരണമാകുമെങ്കിലും (ബഗ്സ് കാണുക
താഴെ).
Flawfinder- കളിൽ ഇനിപ്പറയുന്ന CWE-കളിൽ റിപ്പോർട്ട് ചെയ്യാൻ കഴിയും (ഇവയാണ് Flowfinder കവർ ചെയ്യുന്ന CWE-കൾ;
``*'' CWE/SANS ടോപ്പ് 25 ലിസ്റ്റിലുള്ളവരെ അടയാളപ്പെടുത്തുന്നു:
· CWE-20: തെറ്റായ ഇൻപുട്ട് മൂല്യനിർണ്ണയം
· CWE-22: ഒരു നിയന്ത്രിത ഡയറക്ടറിയിലേക്കുള്ള പാതയുടെ തെറ്റായ പരിമിതി (``പാത്ത് ട്രാവേഴ്സൽ'')
· CWE-78: ഒരു OS കമാൻഡിൽ ഉപയോഗിക്കുന്ന പ്രത്യേക മൂലകങ്ങളുടെ തെറ്റായ ന്യൂട്രലൈസേഷൻ (``OS കമാൻഡ്
കുത്തിവയ്പ്പ്'')*
· CWE-119: ഒരു മെമ്മറി ബഫറിന്റെ പരിധിക്കുള്ളിലെ പ്രവർത്തനങ്ങളുടെ അനുചിതമായ നിയന്ത്രണം (a
CWE-120* ന്റെ രക്ഷിതാവ്, അതിനാൽ ഇത് CWE-119:CWE-120 ആയി കാണിച്ചിരിക്കുന്നു)
· CWE-120: ഇൻപുട്ടിന്റെ വലുപ്പം പരിശോധിക്കാതെ ബഫർ പകർപ്പ് (``ക്ലാസിക് ബഫർ ഓവർഫ്ലോ'')*
· CWE-126: ബഫർ ഓവർ റീഡ്
· CWE-134: അനിയന്ത്രിതമായ ഫോർമാറ്റ് സ്ട്രിംഗ്*
· CWE-190: പൂർണ്ണസംഖ്യ ഓവർഫ്ലോ അല്ലെങ്കിൽ റാപ്പറൗണ്ട്*
· CWE-250: അനാവശ്യമായ പ്രത്യേകാവകാശങ്ങളോടുകൂടിയ വധശിക്ഷ
· CWE-327: തകർന്നതോ അപകടകരമോ ആയ ക്രിപ്റ്റോഗ്രാഫിക് അൽഗോരിതത്തിന്റെ ഉപയോഗം*
· CWE-362: അനുചിതമായ സമന്വയത്തോടുകൂടിയ പങ്കിട്ട വിഭവം ഉപയോഗിച്ച് സമകാലിക നിർവ്വഹണം
(``റേസ് അവസ്ഥ'')
· CWE-377: സുരക്ഷിതമല്ലാത്ത താൽക്കാലിക ഫയൽ
· CWE-676: അപകടകരമായ പ്രവർത്തനത്തിന്റെ ഉപയോഗം*
· CWE-732: ക്രിട്ടിക്കൽ റിസോഴ്സിനുള്ള തെറ്റായ പെർമിഷൻ അസൈൻമെന്റ്*
· CWE-785: പരമാവധി വലിപ്പമുള്ള ബഫർ ഇല്ലാതെ പാത്ത് മാനിപുലേഷൻ ഫംഗ്ഷന്റെ ഉപയോഗം (കുട്ടിയുടെ
CWE-120*, അതിനാൽ ഇത് CWE-120/CWE-785 ആയി കാണിച്ചിരിക്കുന്നു)
· CWE-807: ഒരു സുരക്ഷാ തീരുമാനത്തിൽ വിശ്വാസയോഗ്യമല്ലാത്ത ഇൻപുട്ടുകളെ ആശ്രയിക്കുക*
· CWE-829: വിശ്വസനീയമല്ലാത്ത നിയന്ത്രണ മണ്ഡലത്തിൽ നിന്നുള്ള പ്രവർത്തനക്ഷമത ഉൾപ്പെടുത്തൽ*
``--regex'' (-e) ഓപ്ഷൻ ഉപയോഗിച്ച് നിങ്ങൾക്ക് റിപ്പോർട്ട് ചെയ്യുന്നതിനായി CWE-കളുടെ ഒരു പ്രത്യേക ഉപവിഭാഗം തിരഞ്ഞെടുക്കാം.
ഈ ഓപ്ഷൻ ഒരു സാധാരണ പദപ്രയോഗം സ്വീകരിക്കുന്നു, അതിനാൽ നിങ്ങൾക്ക് ഒന്നിലധികം CWE-കൾ തിരഞ്ഞെടുക്കാം, ഉദാ, ``--regex
"CWE-120|CWE-126"''. ഒരു കമാൻഡ് ലൈനിൽ ``|'' ഉള്ള ഒന്നിലധികം CWEകൾ നിങ്ങൾ തിരഞ്ഞെടുക്കുകയാണെങ്കിൽ
സാധാരണയായി പാരാമീറ്ററുകൾ ഉദ്ധരിക്കേണ്ടതുണ്ട് (ഉദ്ധരിക്കാത്ത ``|'' പൈപ്പ് ചിഹ്നമായതിനാൽ).
CWE-തിരയാൻ കഴിയുന്ന ആവശ്യകതകൾ നിറവേറ്റുന്നതിനാണ് Flawfinder രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത്.
ഒരു ഫയലിൽ ലിസ്റ്റ് ചെയ്തിരിക്കുന്ന CWE-കളുടെ ഒരു ഉപവിഭാഗം റിപ്പോർട്ട് ചെയ്യുക എന്നതാണ് നിങ്ങളുടെ ലക്ഷ്യമെങ്കിൽ, അത് നേടാനാകും
Unix-പോലുള്ള സിസ്റ്റത്തിൽ ``--regex'' അല്ലെങ്കിൽ ``-e'' ഓപ്ഷൻ ഉപയോഗിക്കുന്നു. ഫയൽ ഉണ്ടായിരിക്കണം
റെഗുലർ എക്സ്പ്രഷൻ ഫോർമാറ്റ്. ഉദാഹരണത്തിന്, ``flawfinder -e $(cat file1)'' മാത്രം റിപ്പോർട്ട് ചെയ്യും
``file1'' ലെ പാറ്റേണുമായി പൊരുത്തപ്പെടുന്ന ഹിറ്റുകൾ. ഫയൽ1ൽ ``CWE-120|CWE-126'' അടങ്ങിയിരിക്കുന്നുവെങ്കിൽ
ആ CWE-കളുമായി പൊരുത്തപ്പെടുന്ന ഹിറ്റുകൾ മാത്രമേ റിപ്പോർട്ട് ചെയ്യൂ.
എല്ലാ CWE സുരക്ഷാ ഘടകങ്ങളുടെയും ഒരു ലിസ്റ്റ് (പിഴവ് കണ്ടെത്തുന്നയാൾ തിരയുന്ന ഒപ്പുകൾ/പാറ്റേണുകൾ)
``--listrules'' ഓപ്ഷൻ ഉപയോഗിച്ച് കണ്ടെത്താനാകും. ഓരോ വരിയും ഒപ്പ് ടോക്കൺ ലിസ്റ്റുചെയ്യുന്നു
(സാധാരണയായി ഒരു ഫംഗ്ഷൻ നാമം) അത് ഒരു ഹിറ്റിലേക്ക് നയിച്ചേക്കാം, ഡിഫോൾട്ട് റിസ്ക് ലെവൽ, കൂടാതെ
സ്ഥിരസ്ഥിതി മുന്നറിയിപ്പ് (ഇതിൽ സ്ഥിരസ്ഥിതി CWE ഐഡന്റിഫയർ ഉൾപ്പെടുന്നു). മിക്ക ആവശ്യങ്ങൾക്കും ഇത്
നിങ്ങൾക്ക് CWE സുരക്ഷാ ഘടകങ്ങൾ ഏതൊക്കെ CWE-കളിലേക്കാണ് മാപ്പ് ചെയ്യുന്നതെന്ന് കാണണമെങ്കിൽ അത് മതിയാകും
വിപരീതം. ഉദാഹരണത്തിന്, മാപ്പ് ചെയ്യുന്ന മിക്ക സിഗ്നേച്ചറുകളും (ഫംഗ്ഷൻ നാമങ്ങൾ) കാണാൻ
CWE-327, ഡിഫോൾട്ട് റിസ്ക് ലെവലോ വിശദമായ മുന്നറിയിപ്പ് വാചകമോ കാണാതെ, ``flawfinder പ്രവർത്തിപ്പിക്കുക
--listrules | grep CWE-327 | കട്ട് -f1''. CWE മാപ്പിംഗ് ഇല്ലാതെ നിങ്ങൾക്ക് ടോക്കണുകളും കാണാൻ കഴിയും
ഈ രീതിയിൽ ``flawfinder -D --listrules | റൺ ചെയ്തുകൊണ്ട് grep -v CWE-''. എന്നിരുന്നാലും, സമയത്ത്
--listrules എല്ലാ CWE സുരക്ഷാ ഘടകങ്ങളെയും ലിസ്റ്റുചെയ്യുന്നു, ഇത് CWE-യിൽ നിന്നുള്ള സ്ഥിരസ്ഥിതി മാപ്പിംഗുകൾ മാത്രം ലിസ്റ്റുചെയ്യുന്നു.
CWE ഐഡന്റിഫയറുകളിലേക്കുള്ള സുരക്ഷാ ഘടകങ്ങൾ. പിഴവുകൾ കണ്ടെത്തുന്ന പരിഷ്കാരങ്ങൾ ഇതിൽ ഉൾപ്പെടുന്നില്ല
ബാധകമാണ് (ഉദാ, ഫംഗ്ഷൻ പാരാമീറ്ററുകൾ പരിശോധിച്ചുകൊണ്ട്).
നിങ്ങൾക്ക് CWE സുരക്ഷാ ഘടകങ്ങൾക്കും CWE-നും ഇടയിൽ വിശദവും കൃത്യവുമായ മാപ്പിംഗ് വേണമെങ്കിൽ
ഐഡന്റിഫയറുകൾ, ഫ്ലാഫൈൻഡർ സോഴ്സ് കോഡ് (വിതരണത്തിൽ ഉൾപ്പെടുത്തിയിട്ടുണ്ട്) ആണ് ഏറ്റവും മികച്ച സ്ഥലം
ആ വിവരങ്ങൾക്ക്. ഈ വിശദമായ വിവരങ്ങൾ പ്രാഥമികമായി കുറച്ച് പേർക്ക് താൽപ്പര്യമുള്ളതാണ്
ഫ്ലാഫൈൻഡറിന്റെ CWE മാപ്പിംഗുകൾ പരിഷ്കരിക്കാനോ പൊതുവെ CWE ശുദ്ധീകരിക്കാനോ ശ്രമിക്കുന്ന ആളുകൾ.
സോഴ്സ് കോഡ് സുരക്ഷാ ഘടകങ്ങൾ തമ്മിലുള്ള മാപ്പിംഗ് ബന്ധപ്പെട്ട CWE-യിലേക്ക് രേഖപ്പെടുത്തുന്നു
ഐഡന്റിഫയറുകൾ, ഇത് ഒരു പൈത്തൺ ഫയലാണ്. ``c_rules'' ഡാറ്റാസെറ്റ് മിക്ക നിയമങ്ങളും നിർവചിക്കുന്നു,
കൂടുതൽ പരിഷ്ക്കരണങ്ങൾ നടത്തിയേക്കാവുന്ന ഒരു ഫംഗ്ഷനെ പരാമർശിച്ചുകൊണ്ട്. നിങ്ങൾക്ക് തിരയാൻ കഴിയും
ഫംഗ്ഷൻ പേരുകൾക്കായുള്ള ഡാറ്റാസെറ്റ്, അത് ഡിഫോൾട്ടായി എന്താണ് CWE സൃഷ്ടിക്കുന്നതെന്ന് കാണുന്നതിന്; ആദ്യ പാരാമീറ്റർ ആണെങ്കിൽ
``സാധാരണ'' അല്ല പിന്നെ അത് വ്യത്യസ്തമായി തിരഞ്ഞെടുത്തേക്കാവുന്ന ഒരു റിഫൈനിംഗ് പൈത്തൺ രീതിയുടെ പേരാണ്
CWEs (കൂടുതൽ വിവരങ്ങൾ അനുസരിച്ച്). നേരെമറിച്ച്, നിങ്ങൾക്ക് ``CWE-നമ്പർ'' തിരയാൻ കഴിയും
ആ CWE ഐഡന്റിഫയറിനെ സൂചിപ്പിക്കുന്ന സുരക്ഷാ ഘടകങ്ങൾ (ഒപ്പ് അല്ലെങ്കിൽ പാറ്റേണുകൾ) കണ്ടെത്തുക.
മിക്ക ആളുകൾക്കും, ഇത് അവർക്ക് ആവശ്യമുള്ളതിനേക്കാൾ വളരെ കൂടുതലാണ്; മിക്ക ആളുകളും അവരുടെ സ്കാൻ ചെയ്യാൻ ആഗ്രഹിക്കുന്നു
പ്രശ്നങ്ങൾ പെട്ടെന്ന് കണ്ടെത്താൻ സോഴ്സ് കോഡ്.
സുരക്ഷ
ഈ ഉപകരണത്തിന്റെ മുഴുവൻ പോയിന്റും കേടുപാടുകൾ കണ്ടെത്താൻ സഹായിക്കുക എന്നതാണ്, അതിനാൽ അവ പരിഹരിക്കാനാകും.
എന്നിരുന്നാലും, ഇത് ഉപയോഗിക്കുന്നതിന് സുരക്ഷിത സോഫ്റ്റ്വെയർ എങ്ങനെ വികസിപ്പിക്കണമെന്ന് ഡെവലപ്പർമാരും നിരൂപകരും അറിഞ്ഞിരിക്കണം
ഉപകരണം, കാരണം അല്ലാത്തപക്ഷം, a മൂഢൻ കൂടെ a ഉപകരണം is നിശ്ചലമായ a മൂഢൻ. എന്റെ പുസ്തകം
http://www.dwheeler.com/secure-programs സഹായിച്ചേക്കാം.
ഈ ഉപകരണം ഒരു വലിയ സോഫ്റ്റ്വെയർ വികസന പ്രക്രിയയുടെ ഒരു ചെറിയ ഭാഗമായിരിക്കണം
കേടുപാടുകളുടെ ആഘാതം ഇല്ലാതാക്കാനോ കുറയ്ക്കാനോ രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത്. ഡെവലപ്പർമാരും നിരൂപകരും
സുരക്ഷിത സോഫ്റ്റ്വെയർ വികസിപ്പിക്കുന്നത് എങ്ങനെയെന്ന് അറിയേണ്ടതുണ്ട്, കുറയ്ക്കുന്നതിന് അവർ ഈ അറിവ് പ്രയോഗിക്കേണ്ടതുണ്ട്
ആദ്യഘട്ടത്തിൽ കേടുപാടുകളുടെ അപകടസാധ്യതകൾ.
വ്യത്യസ്ത കേടുപാടുകൾ കണ്ടെത്തുന്നതിനുള്ള ഉപകരണങ്ങൾ വ്യത്യസ്തമായ കേടുപാടുകൾ കണ്ടെത്തുന്നു. അങ്ങനെ, നിങ്ങൾ
മാനുഷിക അവലോകനവും വിവിധ ഉപകരണങ്ങളും ഉപയോഗിക്കുന്നതാണ് നല്ലത്. ചിലത് കണ്ടെത്താൻ ഈ ഉപകരണം സഹായിക്കും
പരാധീനതകൾ, എന്നാൽ ഒരു തരത്തിലും എല്ലാം.
നിങ്ങൾ എപ്പോഴും വിശകലനം ചെയ്യണം a പകർത്തുക വിശകലനം ചെയ്യുന്ന ഉറവിട പ്രോഗ്രാമിന്റെ ഡയറക്ടറിയല്ല
ഫ്ലോഫൈൻഡർ വിശകലനം നടത്തുമ്പോൾ ഒരു ഡെവലപ്പർക്ക് അത് പരിഷ്ക്കരിക്കാനാകും. ഇതാണ്
വിശേഷാല് വിശകലനം ചെയ്യുന്ന പ്രോഗ്രാമിന്റെ ഡെവലപ്പറെ നിങ്ങൾ വിശ്വസിക്കുന്നില്ലെങ്കിൽ ശരിയാണ്.
നിങ്ങൾ ഫയലുകൾ വിശകലനം ചെയ്യുമ്പോൾ ഒരു ആക്രമണകാരിക്ക് അവയുടെ മേൽ നിയന്ത്രണം ഉണ്ടെങ്കിൽ, ആക്രമണകാരിക്ക് കഴിയും
ഒരു സുരക്ഷാ പ്രശ്നം പുറത്തുവരുന്നത് തടയാൻ ഫയലുകൾ നീക്കുക അല്ലെങ്കിൽ അവയുടെ ഉള്ളടക്കം മാറ്റുക
(അല്ലെങ്കിൽ ഒന്നുമില്ലാത്തിടത്ത് ഒരു പ്രശ്നത്തിന്റെ പ്രതീതി സൃഷ്ടിക്കുക). നിങ്ങൾക്ക് ആശങ്കയുണ്ടെങ്കിൽ
ക്ഷുദ്ര പ്രോഗ്രാമർമാരെ നിങ്ങൾ എന്തായാലും ഇത് ചെയ്യണം, കാരണം വിശകലനത്തിന് ശേഷം നിങ്ങൾക്ക് ഇത് ആവശ്യമാണ്
അവസാനം റൺ ചെയ്യുന്ന കോഡ് നിങ്ങൾ വിശകലനം ചെയ്ത കോഡാണോ എന്ന് പരിശോധിക്കുക. കൂടാതെ, ഉപയോഗിക്കരുത്
--അത്തരം സന്ദർഭങ്ങളിൽ allowlink ഓപ്ഷൻ; ആക്രമണകാരികൾക്ക് ഫയലുകളിലേക്ക് ക്ഷുദ്രകരമായ പ്രതീകാത്മക ലിങ്കുകൾ സൃഷ്ടിക്കാൻ കഴിയും
അവരുടെ സോഴ്സ് കോഡ് ഏരിയയ്ക്ക് പുറത്ത് (ഉദാ / etc / passwd).
സോഴ്സ് കോഡ് മാനേജ്മെന്റ് സിസ്റ്റങ്ങൾ (SourceForge, Savannah എന്നിവ പോലെ) തീർച്ചയായും ഇതിൽ ഉൾപ്പെടുന്നു
വിഭാഗം; നിങ്ങൾ ആ സിസ്റ്റങ്ങളിലൊന്ന് പരിപാലിക്കുകയാണെങ്കിൽ, ആദ്യം ഫയലുകൾ പകർത്തുകയോ എക്സ്ട്രാക്റ്റ് ചെയ്യുകയോ ചെയ്യുക
ഫ്ലോഫൈൻഡർ പ്രവർത്തിപ്പിക്കുന്നതിന് മുമ്പ് ഒരു പ്രത്യേക ഡയറക്ടറി (അത് ആക്രമണകാരികൾക്ക് നിയന്ത്രിക്കാൻ കഴിയില്ല).
മറ്റേതെങ്കിലും കോഡ് വിശകലന ഉപകരണം.
സാധാരണ ഫയലുകൾ, ഡയറക്ടറികൾ, കൂടാതെ (ആവശ്യമെങ്കിൽ) പ്രതീകാത്മകമായി മാത്രമേ ഫ്ലോഫൈൻഡർ തുറക്കൂ എന്നത് ശ്രദ്ധിക്കുക
ലിങ്കുകൾ; മറ്റ് തരത്തിലുള്ള ഫയലുകളിലേക്ക് ഒരു പ്രതീകാത്മക ലിങ്ക് ഉണ്ടാക്കിയാലും അത് ഒരിക്കലും തുറക്കില്ല.
സോഴ്സ് കോഡിലേക്ക് അസാധാരണമായ ഫയൽ തരങ്ങൾ ചേർക്കുന്ന ആക്രമണകാരികളെ ഇത് പ്രതിരോധിക്കുന്നു. എന്നിരുന്നാലും, ഇത്
ഈ സമയത്ത് ഒരു ആക്രമണകാരിക്ക് വിശകലനം ചെയ്യുന്ന ഫയൽസിസ്റ്റം പരിഷ്ക്കരിക്കാൻ കഴിയുന്നില്ലെങ്കിൽ മാത്രമേ പ്രവർത്തിക്കൂ
മുകളിൽ ശുപാർശ ചെയ്തതുപോലെ വിശകലനം. ഈ സംരക്ഷണം സിഗ്വിൻ പ്ലാറ്റ്ഫോമുകളിലും പ്രവർത്തിക്കില്ല,
നിർഭാഗ്യവശാൽ.
സിഗ്വിൻ സിസ്റ്റങ്ങൾക്ക് (വിൻഡോസിന് മുകളിലുള്ള യുണിക്സ് എമുലേഷൻ) ഫ്ലോഫൈൻഡറാണെങ്കിൽ ഒരു അധിക പ്രശ്നമുണ്ട്
അനലിസ്റ്റിന് വിശ്വസിക്കാൻ കഴിയാത്ത പ്രോഗ്രാമുകൾ വിശകലനം ചെയ്യാൻ ഉപയോഗിക്കുന്നു. ഒരു ഡിസൈൻ കാരണമാണ് പ്രശ്നം
വിൻഡോസിലെ പിഴവ് (അത് MS-DOS-ൽ നിന്ന് പാരമ്പര്യമായി ലഭിക്കുന്നത്). Windows, MS-DOS എന്നിവയിൽ, ചില ഫയൽനാമങ്ങൾ
(ഉദാ, ``com1'') എന്നതിന്റെ പേരുകളായി ഓപ്പറേറ്റിംഗ് സിസ്റ്റം സ്വയമേവ പരിഗണിക്കുന്നു
പെരിഫറലുകൾ, ഒരു മുഴുവൻ പാത്ത്നെയിം നൽകിയാലും ഇത് ശരിയാണ്. അതെ, വിൻഡോസും എംഎസ്-ഡോസും
ശരിക്കും ഇത് മോശമായാണ് രൂപകൽപ്പന ചെയ്തിരിക്കുന്നത്. ഒരു ഫയൽസിസ്റ്റം എന്താണെന്ന് പരിശോധിച്ചുകൊണ്ട് Flawfinder ഇത് കൈകാര്യം ചെയ്യുന്നു
ഒബ്ജക്റ്റ് ആണ്, തുടർന്ന് ഡയറക്ടറികളും സാധാരണ ഫയലുകളും മാത്രം തുറക്കുന്നു (പ്രാപ്തമാക്കിയാൽ സിംലിങ്കുകൾ).
നിർഭാഗ്യവശാൽ, ഇത് Cygwin-ൽ പ്രവർത്തിക്കുന്നില്ല; Cygwin-ന്റെ ചില പതിപ്പുകളിലെങ്കിലും
വിൻഡോസിന്റെ പതിപ്പുകൾ, ഒരു ഫയൽ ഉപകരണ തരമാണോ എന്ന് നിർണ്ണയിക്കാൻ ശ്രമിക്കുന്നു
തൂക്കിയിടാനുള്ള പ്രോഗ്രാം. വ്യാഖ്യാനിക്കപ്പെടുന്ന ഏതെങ്കിലും ഫയൽനാമങ്ങൾ ഇല്ലാതാക്കുകയോ പുനർനാമകരണം ചെയ്യുകയോ ചെയ്യുക എന്നതാണ് ഒരു പ്രതിവിധി
വിശകലനം നടത്തുന്നതിന് മുമ്പ് ഉപകരണ നാമങ്ങളായി. ഇവയാണ് ``സംവരണം ചെയ്ത പേരുകൾ''
CON, PRN, AUX, CLOCK$, NUL, COM1-COM9, LPT1-LPT9, ഓപ്ഷണലായി ഒരു വിപുലീകരണം പിന്തുടരുന്നു
(ഉദാ, ``com1.txt''), ഏത് ഡയറക്ടറിയിലും ഏത് സാഹചര്യത്തിലും (വിൻഡോസ് കേസ്-ഇൻസെൻസിറ്റീവ് ആണ്).
Do അല്ല വിശ്വസനീയമല്ലാത്ത ഉറവിടങ്ങളിൽ നിന്ന് ഹിറ്റ്ലിസ്റ്റുകൾ ലോഡ് ചെയ്യുക അല്ലെങ്കിൽ വ്യത്യാസപ്പെടുത്തുക. ഉപയോഗിച്ചാണ് അവ നടപ്പിലാക്കുന്നത്
പൈത്തൺ അച്ചാർ മൊഡ്യൂൾ, അച്ചാർ മൊഡ്യൂൾ തെറ്റുകൾക്കെതിരെ സുരക്ഷിതമാക്കാൻ ഉദ്ദേശിച്ചുള്ളതല്ല
അല്ലെങ്കിൽ ക്ഷുദ്രകരമായി നിർമ്മിച്ച ഡാറ്റ. സംഭരിച്ച ഹിറ്റ്ലിസ്റ്റുകൾ പിന്നീടുള്ള ഉപയോഗത്തിനായി ഉദ്ദേശിച്ചുള്ളതാണ്
ഹിറ്റ്ലിസ്റ്റ് സൃഷ്ടിച്ച ഉപയോക്താവ്; ഈ സാഹചര്യത്തിൽ ഈ നിയന്ത്രണം ഒരു പ്രശ്നമല്ല.
onworks.net സേവനങ്ങൾ ഉപയോഗിച്ച് ഓൺലൈനിൽ flawfinder ഉപയോഗിക്കുക
