Home
一、产品定位
“铲子”是一款极具实用性的 JAVA SAST(静态应用程序安全测试)工具。其目标是为安全工程师们提供一款“简单、好用、价格厚道”的代码安全扫描产品。
二、功能介绍
- Java,支持 Servlet&filter、spring、dubbo、thirft、jfinal、netty、struts2、cxf、mybatis、dropwizard、jdk 内置 httpserver、jsp,xml、yaml、properties 等技术栈。
- 运用污点分析技术。“铲子”能够将 java、xml(mybatis、dubbo)等统一构建数据流图,无需编译即可进行精准的污点分析。漏洞结果可在数据流窗口轻松阅读。铲子采用了更加轻量的污点分析,去掉了和安全漏洞不相关的分析,这样即便扫描大型的java项目也能更高效的完成。
- 内置了 sql 注入、命令注入、文件上传、ssrf 等常见的 cwe 漏洞规则,同时还包括 log4j、shiro、xstream、actuator 等组件类漏洞规则。
- 用户可以对漏洞进行标记,并导出简洁明了的漏洞报告。报告内容包含漏洞类型、危害等级、所在位置以及修复建议,能够助力开发人员快速定位和解决问题。
- 支持反编译扫描。在新建任务时,可选择需要反编译的 jar、package 或 class 文件;在审计过程中,也能对单个 class 或 jar 文件进行反编译,以便阅读代码。
- 多功能代码编辑器。为了让用户更方便地阅读代码,减少在 sast 工具及 ide 之间的频繁切换,编辑器内置了类型、变量、方法的跳转及使用查找功能,还能快速搜索全仓库及文件的代码大纲。
- 自定义规则采用 cypher 查询语言,用户学习门槛低。对于熟悉图数据库的同学来说,可以快速上手。
注:扫描过程不会上传任何形式的代码数据到服务端,请放心使用。
三、工具的安装使用
- 下载安装:访问“铲子”官方网站,根据您的操作系统选择合适的安装包进行下载并安装。
- 配置环境:一键安装,无需额外配置。
- 开始扫描:启动程序后,点击新建任务即可开启扫描之旅。
- 查看结果:在漏洞窗口查看扫描结果,可按需进行漏洞排序、筛选、标记等操作。
- 查看报告:在“任务”栏右键即可导出报告。
四、需求、bug、讨论
- 需求/bug:请在该仓库的 issues 板块提交。
- 技术交流:请在该仓库的 dissussions 板块参与或发起讨论。
- 产品文档:GitHub 上提供了详细的文档,可在 wiki 板块阅读。
- 官方网站:www.chanzikeji.com。
- 下载地址:github 下载。
- 备用地址:云盘下载。
微信公众号:chanzisast
