最近在哔哩哔哩看 到Swallow 代码审计系统的宣传,发现功能比较适合我目前的工作需要,安装使用了一下,简单做了一个笔记,分享给有需要的朋友.

Swallow是一款开源的代码审计工具，其底层集成了多种静态代码分析工具，如murphysec SCA、Fortify、SemGrep、Hema(Webshell检测)，通过蜻蜓安全的编排系统进行连接。同时上层UI使用了Bootstrap 5和ThinkPHP 6。

搭建起来之后，进入控制台中看了下QingScan的功能列表，发现除了公众号介绍的黑盒扫描功能外其实还有不少功能，我比较喜欢的是里面的白盒审计功能，里面集成了fortify、semgrep、河马webshell、kunlun-m、sonarqube、PHP依赖、Python依赖、java依赖的扫描工具,所以写下这篇文章跟大家分享一下~

前段时间在做代码审计，发现很多项目都存在安全隐患，大多数是来自于参数未过滤所造成的；为了解决这个问题，我将Web安全开发规范手册V1.0进行了培训，但是效果并不是太理想，原因是培训后开发者的关注点主要在功能完成度上，安全编码对于他们来说并不是核心指标；