第43篇：国内商用代码审计工具CodePecker啄木鸟的使用教程

Part1 前言

最近感染了新冠，大病初愈，没有气力写复杂的文章了，就抽空把《代码审计工具系列教程》写完吧，前面几期介绍了商用代码审计工具Fortify、Checkmarx、Coverity、Klocwork的使用，同时也着重介绍了国内少有人提起的Fortify命令行的使用方法，方便大家调用Fortify命令行程序进行自动化代码审计平台的开发。

在此之前介绍的代码审计工具都是国外的，国内的商用代码审计工具我也测试过几款，在这里就不予置评，想要追赶Fortify、Checkmarx、Coverity这3款世界公认的商用工具，还是需要我们共同努力。本期介绍一款国内的代码审计工具啄木鸟，英文名字是CodePecker，功能方面，至少能出一份不错的中文代码审计报告，支持Java、PHP、Python代码的审计工作，这款工具还可以直接对java字节码进行代码审计工作，这点很不错。

求助：哪位朋友有Codesecure、IBM Security AppScan Source、国产的codepecker代码审计工具的破解版或者是试用版，方便的话发我试用一下，保证不外传，保证不用于商业目的，Thanks♪(･ω･)ﾉ

Part2 使用过程

啄木鸟CodePecker工具是商业版的，需要一个加密狗U盘才可以使用。这里我还是选用自己最擅长的Java代码进行代码审计工作吧，打开软件后界面如下：

接下来选择JavaWeb的代码文件夹：

接下来选择Java源码的依赖库，也可以理解为jar包路径，如果是JavaWeb代码，记得勾选“这是一个Web项目”。如不选择第三方库，引擎会自动分析当前源码目录，并将目录内所有的class和jar加载到检测路径上。

这里可以进行Jvm启动参数配置。

点击“下一步”，选择Java的规则库，这里我们全选即可。

点击“完成”，即开始代码审计工作。

Codepecker啄木鸟开始进行代码的“缺陷检查”工作：

接下来看一下扫描结果，报告看起来还不错。

如下图所示，可以看到代码审计结果，每个漏洞都配有中文描述及漏洞修复建议。

Part3 总结

Help: Which friend has a cracked or trial version of Codesecure, Klockwork, and IBM Security AppScan Source? If it's convenient, send it to me for trial, and I guarantee that it will not be used for commercial purposes。Thanks♪(･ω･)ﾉ。Contact me by e-mail : 0day123abc#gmail.com(replace # with @)。

专注于网络安全技术分享，包括红队攻防、蓝队分析、渗透测试、代码审计等。每周一篇，99%原创，敬请关注

Contact me: 0day123abc#gmail.com(replace # with @)