Perl代码安全扫描程序而不是RAT?(必须是静态的)

Perl::Critic 在很大程度上基于该书实施了许多安全检查 Perl最佳实践 鉴于Perl::Critic是使用PPI解析器编写的,它可能比RAT能够实现更大的内省。

也就是说,没有任何代码扫描程序或实用程序会发现仅仅是糟糕的编程实践导致的安全错误。一些简单的最佳实践可以大有帮助。这个 perlsec manpage详细介绍了许多Perl安全问题,并提供了一些很好的实用建议。

根据我自己审计大量糟糕代码的经验:

• 始终使用污染模式( -T (国旗)
• 总是 use strict
• 总是 use warnings
• 总是使用 placeholders 在DBI代码中
• 在将任何输入用作文件名、方法/函数名或系统调用的参数之前,请始终仔细检查并清理它
• 避免使用绳子 eval 只要可能;不管怎样,它效率很低。永远不要将用户输入放入 评估 一串

我肯定还有很多事情我现在记不起来了,但已经很晚了。:)

关于图形引擎,我刚刚发现 PPI

解析、分析和操作Perl (没有perl)

主要特点包括:;

1. (perl代码的)文档
2. 结构和质量分析
3. 重构
4. 布局
5. 演示