Yasca
2007년 Michael이 개발하였으며, 소스코드에 대한 보안 취약점 점검과 품질향상을 위한 오픈소스이며 시큐어 코딩 점검 툴입니다.
yasca 지원언어 Java, C/C++, ASP, PHP 등 다양한 언어를 지원하고있습니다.
** yasca 다운로드**
https://sourceforge.net/projects/yasca/files/Yasca%202.x/Yasca%202.2/
위 URL에서 다운로드 받을 수 있으며, 저는 yasca-core-2.21.zip을 다운로드받았습니다.
원하는 경로에 압축을 풀고 실행 및 실행확인
원하는 경로에 압축을 풀어주시고 cmd창에서 해당경로로 이동합니다.
해당경로에서 yasca를 입력하시면 yasca와 관련된 정보들이 출력되면 성공한 것입니다.
yasca를 이용한 소스코드분석
yasca –px jlint,Lint4j [검사 할 소스코드 경로]
yasca -px jlint,Lint4j D:\프로젝트경로
cmd창에서 위와 같이 입력해주시면 해당 소스를 점검해줍니다.
결과생성
위에까지 진행하셨다면 분석이 완료되면 cmd창에서 맨마지막줄에 아래와 같이 경로와 완료된 html파일명이 표시됩니다.
WARN Results have been written to C:\Users\Yasca\Yasca-Report-날짜.html
해당 폴더로가서 html파일을 실행해주시면 됩니다.
그러면 아래 사진과 같은 화면이 나옵니다.
맨 우측은 해당하는 소스가 나오고 그 좌측에 네모버튼의 의미는 아래와 같고 누르시면 확인하실 수 있습니다.
- 회색 : 취약점 번호에 “검토결과 취약점 아님”라는 의미의 라인표시
- 붉은색 : 검사 소스코드에서 발견된 취약점 설명
- 파란색 : 취약점이 발견된 소스코드의 위치 확인