前言
审计C/C++的时候,我们一般也会使用fortify先进行扫描,但是问题存在于,如果fortify的配置存在问题,那么扫描是不会有任何结果的,如下显示灰色
所以推荐在做C/C++的代码审计的时候可以尝试一下其他的工具进行扫描如Flawfinder
开始
安装过程很简单,文档也都有说明
pip install flawfinder# 下面这个是给文件进行格式转换,防止flawfinder因为格式原因不能继续扫描文件异常pip install cvt2utfcvt2utf convert src -i c
使用
以github开源的HAWQ为例:https://github.com/apache/hawq
使用也很简单,毕竟还是需要结合人工来看
查看帮助
flawfinder -h
原生格式保存为csv
flawfinder src > res.csv
保存为html
flawfinder --html --context --minlevel=4 backend > output.html
其他
- Automated Audit Example: flawfinder
若有收获,就点个赞吧
0 人点赞
