从最近几天开始,我一直在寻找ColdFusion的静态代码分析工具。到目前为止,我还没有一个好的。我找到了两个。
从YASCA我只获得XSS警报和会话管理的一些警报,仅此而已。我尝试过整个项目。 我甚至无法使用ColdFusion10正确安装cf-metrics,将所需的jar文件放入lib文件夹后,我无法访问任何一个我的IIS站点 因为isapi重定向isse。
还有其他可用工具吗?
答案 0 :(得分:4)
如果您仍在寻找ColdFusion Linter,我会推荐CFLint。它托管在GitHub和Maven上。解析器已更新为使用ANTLR4,因此它比以前的版本快得多。我们也比JSLint更容易定制。
答案 1 :(得分:3)
我过去曾经多次看过这个,因为我维护了一个大的CF应用程序。
每次我看都无法找到合适的东西。我花了一些时间研究使用Railo CFML解析器(因为它是开源的)来自己构建一些东西并在可能的时候得出结论,但这不是一项小任务。
您可以重新检查Railo方法,但是将来自Railo的AST提供给现有的代码分析工具。我从来没有这么远,但可能在一定程度上。
我喜欢听到不同的声音,但简短的回答是那里的声音并不多。