X-SAST 专业多语言代码安全审计工具套件

项目背景

在渗透测试和安全评估过程中，高效快速的代码审计是一项关键能力。

现有工具如 Seay 和 Fortify SCA 各有局限性：

• Seay：仅适用于 PHP 环境，正则匹配结果冗余，缺乏有效的审计进度管理
• Fortify SCA：虽支持多语言，但扫描耗时长，且常因语法环境缺失导致分析失败

渗透测试人员通常采用关键函数追溯方法进行快速代码审计。

X-SAST 专业多语言代码安全审计工具套件。

核心功能

1. 基于正则的通用引擎：支持多种编程语言，实现快速代码扫描
2. AI 辅助验证：利用人工智能技术自动筛选和验证扫描结果，快速筛选误报结果
3. 专业审计 UI：提供直观的界面，支持人工进一步分析和筛选 AI 验证后的结果
4. IDE 联动：与主流 IDE 集成，提供代码流追踪功能
5. 代码流分析：深入分析代码结构，PHP 部分已完成实现，其他语言持续开发中

工具套件组成

X-SAST 工具套件包含以下核心组件：

• X1_checker：自动化规则检查引擎，支持命令行操作
• X2_verifier：AI 增强的验证引擎，集成了 X1_checker 的所有功能，并增加 AI 辅助分析能力
• X3_auditor：人工审计图形界面，用于深入分析和确认扫描结果
• X9_editor：规则编辑器，支持自定义安全规则的创建和管理

发布说明

目前 X-SAST 以二进制形式发布，核心程序开源, 其他部分提供 Windows 平台的预编译可执行程序：

• X1_checker.exe：规则检查引擎（命令行工具 开源）

• X2_verifier.exe：AI 验证引擎（命令行工具，需授权）

• X3_auditor.exe：人工审计工具（GUI 程序）
• X3载入X1结果示例

• X3载入X2结果示例

• X9_editor.exe：规则编辑器（GUI 程序 开源）

工具获取

https://github.com/winezer0/X-SAST-PUBLIC

文章来源：夜组安全

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END