<div dir="ltr"><div>Would you like to present these tools (Orizon, Yasaca &amp; Code crawler) at OWASP Portugal?</div>
<div>I hope to do OWASP Code review training and think the integration of such tools with the guide would be very useful to the community?</div>
<div>When the tools reach maturity I would suggest a &quot;bake-off&quot; competition of the tools also looking at which tools is better is different areas.</div>
<div>what y&#39;all think?</div>
<div><br><br>&nbsp;</div>
<div class="gmail_quote">2008/10/1 Paolo Perego <span dir="ltr">&lt;<a href="mailto:thesp0nge@gmail.com">thesp0nge@gmail.com</a>&gt;</span><br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">That&#39;s the same for me. The reason I started writing Orizon was to<br>provide a set of rules that will be cross for the existing tools.<br>
<br>After all, I&#39;ve seen the code and the approach Yasca uses in<br>programming language is different than mine but seems to be good too<br>:)<br><br>thesp0nge<br>
<div class="Ih2E3d"><br>2008/10/1 Michael V. Scovetta &lt;<a href="mailto:scovetta@users.sourceforge.net">scovetta@users.sourceforge.net</a>&gt;:<br></div>
<div>
<div></div>
<div class="Wj3C7c">&gt; Hi Stephen,<br>&gt; &nbsp; &nbsp;I suppose part of it is hindsight being what it is. I started out just<br>&gt; wanting a wrapper around grep to scan for simple things, but as things got<br>&gt; more complex, I realized it had to be a bit better than that. Each of those<br>
&gt; tools are great at finding certain things, but (a) all are only Java (except<br>&gt; for Jlint, which does C/C++ too) [Yasca is more generic - it has a few<br>&gt; scanners for HTML/JavaScript and even a COBOL one], and (b) they are limited<br>
&gt; to scanning using their own framework (i.e. it&#39;d be difficult to integrate<br>&gt; Jlint or FindBugs&#39; ruleset into PMD). In that regard you could call that<br>&gt; aspect of Yasca a wrapper.<br>&gt;<br>&gt; Thanks!<br>
&gt;<br>&gt; Mike<br>&gt;<br>&gt; On Wed, Oct 1, 2008 at 3:57 AM, Stephen de Vries<br>&gt; &lt;<a href="mailto:stephen@twisteddelight.org">stephen@twisteddelight.org</a>&gt; wrote:<br>&gt;&gt;<br>&gt;&gt; Hi Mike,<br>&gt;&gt;<br>
&gt;&gt; Looks very interesting! &nbsp;I&#39;m curious about the reasons you chose to<br>&gt;&gt; implement a framework from scratch instead of using PMD/jlint/findbugs ?<br>&gt;&gt;<br>&gt;&gt; cheers,<br>&gt;&gt; Stephen<br>
&gt;&gt;<br>&gt;&gt; On Oct 1, 2008, at 1:25 AM, Michael V. Scovetta wrote:<br>&gt;&gt;<br>&gt;&gt;&gt; Hello,<br>&gt;&gt;&gt; &nbsp; I thought this would be relevant to the OWASP Code Review Project,<br>&gt;&gt;&gt; since I started writing Yasca to help with code reviews.<br>
&gt;&gt;&gt;<br>&gt;&gt;&gt; Yasca (&quot;Yet Another Source Code Scanner&quot;) is a framework and<br>&gt;&gt;&gt; implementation for performing source code analysis. It integrates some<br>&gt;&gt;&gt; security scanners (PMD, FindBugs, Jlint) and has some of its own too. It&#39;s<br>
&gt;&gt;&gt; meant to find on the &quot;low hanging fruit&quot; in web applications, and be<br>&gt;&gt;&gt; **very** easily extensible (i.e. ~30 seconds to write a new rule) yet<br>&gt;&gt;&gt; powerful (i.e. arbitrary call-outs to your own scanning code). Yasca is<br>
&gt;&gt;&gt; written in command-line PHP, is cross-platform, and is simple and quick to<br>&gt;&gt;&gt; run.<br>&gt;&gt;&gt;<br>&gt;&gt;&gt; Yasca is open-source (BSD license) and is available on SourceForge<br>&gt;&gt;&gt; (<a href="http://sourceforge.net/projects/yasca" target="_blank">http://sourceforge.net/projects/yasca</a>) or <a href="http://yasca.org/" target="_blank">http://yasca.org/</a>.<br>
&gt;&gt;&gt;<br>&gt;&gt;&gt; I&#39;m very interested in hearing feedback and suggestions.<br>&gt;&gt;&gt;<br>&gt;&gt;&gt; Thank you,<br>&gt;&gt;&gt;<br>&gt;&gt;&gt; Mike Scovetta<br>&gt;&gt;&gt; _______________________________________________<br>
&gt;&gt;&gt; Owasp-codereview mailing list<br>&gt;&gt;&gt; <a href="mailto:Owasp-codereview@lists.owasp.org">Owasp-codereview@lists.owasp.org</a><br>&gt;&gt;&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-codereview" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-codereview</a><br>
&gt;&gt;<br>&gt;<br>&gt;<br>&gt;<br>&gt; --<br>&gt; -[ Michael Scovetta ]-<br>&gt;<br>&gt; _______________________________________________<br>&gt; Owasp-codereview mailing list<br>&gt; <a href="mailto:Owasp-codereview@lists.owasp.org">Owasp-codereview@lists.owasp.org</a><br>
&gt; <a href="https://lists.owasp.org/mailman/listinfo/owasp-codereview" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-codereview</a><br>&gt;<br>&gt;<br><br><br><br>--<br></div></div>
<div class="Ih2E3d">Owasp Orizon leader<br><a href="http://orizon.sourceforge.net/" target="_blank">orizon.sourceforge.net</a><br>_______________________________________________<br></div>
<div>
<div></div>
<div class="Wj3C7c">Owasp-codereview mailing list<br><a href="mailto:Owasp-codereview@lists.owasp.org">Owasp-codereview@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-codereview" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-codereview</a><br>
</div></div></blockquote></div><br><br clear="all"><br>-- <br>Eoin Keary CISSP CISA<br>OWASP Code Review Guide Lead Author<br>OWASP Ireland Chapter Lead<br></div>