一款简单易用的静态应用程序安全测试工具--“铲子”SAST

本文为大家推荐 一款简单易用的JAVA SAST（静态应用程序安全测试）工具，专为安全工程师设计。它不仅操作简单，而且价格合理，是一款高效的代码安全扫描产品，助力开发团队保障代码的安全性。

工具地址：https://github.com/Chanzi-keji/chanzi

一、功能介绍

• 支持语言:   本工具支持多种Java框架，包括Servlet、Spring、Dubbo、Thrift、MyBatis和JSP，让开发者能够全面检测其代码安全性。

• 技术特点:   “铲子”采用先进的污点分析技术，能够将Java和XML（如MyBatis、Dubbo）代码构建为统一的数据流图，支持无编译分析，提高了测试效率。

• 漏洞检测:   工具内置多种常见漏洞检测规则，如SQL注入、命令注入、文件上传及SSRF等，同时允许用户根据需求自定义规则，增强检测灵活性。

• 详尽报告:   每次扫描后，“铲子”生成详细的漏洞报告，报告中涵盖漏洞类型、危害等级、位置及修复建议，帮助开发人员迅速定位问题并进行修复

该产品分为免费版和社区版

二、工具的安装与使用

• 下载安装:   请访问“铲子”官方网站，选择适合您的操作系统的安装包进行下载与安装。

• 环境配置:   安装Java JDK或JRE（版本19及以上）即可开始使用，无需额外复杂配置。

• 开始扫描: 启动程序后，点击“新建任务”即可开始扫描项目。

• 查看报告:   在任务栏右键选择“导出报告”功能，获取详细的扫描结果。