Estoy buscando una utilidad que pueda usarse contra ensamblajes .NET para validar el código contra las mejores prácticas, y lo más importante, puede revisar el código de seguridad, inyección y vulnerabilidades de scripts entre sitios. Sé que no es una ciencia exacta, pero estoy buscando la experiencia/recomendaciones de cualquier persona sobre la mejor manera de llegar a una solución que al menos establezca un estándar de referencia. Sé que no hay nada mejor que hacer una revisión individual, pero estoy mirando al alto nivel.Herramienta de revisión de seguridad de código .NET
He estado investigando sobre Fortify, y hasta ahora parece una buena herramienta, por lo que puedo decir proporciona una respuesta muy detallada. Sé que FXCop también está ahí, pero no sé si entra lo suficientemente profundo.
EDIT Una cosa atractiva que encontré sobre Fortify, y que sería bueno en una herramienta es la combinación de revisión de seguridad, .NET y mejores prácticas de revisión. IE fortalece los controles para posibles conexiones no cerradas, recomienda el uso de instrucciones de uso, etc.
FXCop es una herramienta práctica, pero tienes razón, no va lo suficientemente lejos. – Oli