Herramienta de revisión de seguridad de código .NET

Question

Estoy buscando una utilidad que pueda usarse contra ensamblajes .NET para validar el código contra las mejores prácticas, y lo más importante, puede revisar el código de seguridad, inyección y vulnerabilidades de scripts entre sitios. Sé que no es una ciencia exacta, pero estoy buscando la experiencia/recomendaciones de cualquier persona sobre la mejor manera de llegar a una solución que al menos establezca un estándar de referencia. Sé que no hay nada mejor que hacer una revisión individual, pero estoy mirando al alto nivel.

He estado investigando sobre Fortify, y hasta ahora parece una buena herramienta, por lo que puedo decir proporciona una respuesta muy detallada. Sé que FXCop también está ahí, pero no sé si entra lo suficientemente profundo.

EDIT Una cosa atractiva que encontré sobre Fortify, y que sería bueno en una herramienta es la combinación de revisión de seguridad, .NET y mejores prácticas de revisión. IE fortalece los controles para posibles conexiones no cerradas, recomienda el uso de instrucciones de uso, etc.

Answer 1

FxCop es una herramienta de análisis de código estático, aunque no apunta específicamente a la seguridad, recogerá una gran cantidad de errores comunes (asegúrese de desactivar las reglas de nombres que no le interesan).

Además, me encontré con la "Herramienta de revisión del código de rendimiento - Verificador de prácticas" here.

Answer 2

Tenemos licencias para Ounce para el lado del desarrollo, y he escuchado cosas excelentes sobre SpiDynamics para probar aplicaciones posteriores al desarrollo.