Scanmycode：一款功能强大的静态代码安全扫描工具

关于Scanmycode

Scanmycode是一款功能强大的静态代码安全扫描工具，该工具基于静态分析技术，并使用了多种工具来对目标代码进行扫描，扫描完成后会给研究人员生成一份详细的安全扫描报告。

值得一提的是，该工具还允许广大研究人员进行自定义开发或添加其他工具组件。当前版本的Scanmycode支持多种语言和技术栈，工具概念结构如下图所示：

功能特性

1、集成了多种工具，生成统一报告； 2、标记假阳性； 3、检查器中支持单独启用/禁用检测项； 4、支持1000多种检测技术； 5、检测速度快，重新检查时工具仅检查新代码； 6、Git支持（HTTPS/TLS和SSH），私有代码库仅支持SSH； 7、所有REST API均可调用（CI/CD可集成）； 8、100%的代码透明度和对代码的完全控制；

工具安装

首先，我们需要在本地设备上安装并配置好docker和docker-compose。接下来，我们有两种选项可选择：

1、快速安装（使用DockerHub构建镜像）

git clone https://github.com/marcinguy/scanmycode-ce.git

cd scanmycode-ce/dockerhub

./start.sh

2、手动构建

git clone https://github.com/marcinguy/scanmycode-ce.git

cd scanmycode-ce/docker

./start.sh

工具使用

工具安装并配置完成后，就可以打开浏览器并访问下列地址：

http://localhost:5000

本地注册并登录之后，我们就可以开始使用Scanmycode了。

运行Web应用程序：

python manage.py runserver

运行后台Worker：

python manage.py runworker

工具运行截图

工具使用演示

https://image.3001.net/images/20220316/1647361247_6230bcdfc8fc31032583d.gif

许可证协议

本项目的开发与发布遵循BSD-3 Clause开源许可证协议。

项目地址

https://github.com/marcinguy/scanmycode-ce

参考资料

https://github.com/marcinguy/scanmycode-ce#how-is-scanmycode-different-than-sonarqube

https://github.com/marcinguy/scanmycode-ce/wiki

https://www.scanmycode.today/