我正在寻找一种可用于针对.NET程序集的实用程序,以针对最佳实践验证代码,最重要的是可以查看安全,注入和跨站点脚本漏洞的代码。我知道这不是一门精确的科学,但我正在寻找任何有关最佳解决方案的经验/建议,至少可以设定基线标准。我知道没有什么可以进行个人评论,但我正在考虑高级别。
我一直在对Fortify进行一些研究,到目前为止,它看起来是一个很好的工具,从我能说的它提供了非常详细的反应。我知道FXCop也在那里,但我不知道它是否足够深入。
编辑我发现Fortify的一个有吸引力的事情,在工具中很好用的是安全审查和.NET最佳实践审核的结合。 IE强化检查潜在的非闭合连接,建议使用Using语句等