今天给大家介绍的这款开源工具名叫AutoSource，它是一款整合了SonarQube的自动化源代码审计框架。

AutoSource

AutoSource是一款整合了SonarQube的自动化源代码审计框架，广大研究人员可以利用该工具来进行静态代码分析与审计。除此之外，在AutoSource的帮助下，我们还可以在SDLC（软件开发生命周期）的各个阶段中对目标项目进行高效率的漏洞扫描。代码扫描的过程也非常简单，我们只需要将给定的GIT代码库链接到框架中，AutoSource就可以完成剩下的自动化扫描任务了。

AutoSource框架目前支持在大部分常见计算机平台上执行源代码审计，其中包括macOS、Linux和Windows。

工具安装

1、 使用下列命令将AutoSource框架代码库克隆到本地设备：

git clone https://github.com/Securityautomation/autoSource.git

2、 读取prerequisites.txt文件，并安装所有框架依赖组件。

3、 运行downloadSonar.py文件，该文件将下载并安装SonarQube框架，安装完成后可以直接在浏览器地址栏中输入“http://127.0.0.1:9000“来访问工具：

python3 downloadSonar.py

4、 接下来，运行executeScanner.py文件，该文将会要求你输入需要扫描的GIT代码库地址：

python3 executeScanner.py

5、 扫描完成后，可以直接访问下列地址来查看SonarQube界面：

http://127.0.0.1:9000

工具运行截图

下载SonarQube和SonarScanner：

SonarQube运行：

运行扫描器：

自动化扫描过程：

扫描成功：

SonarQube仪表盘：

项目地址

AutoSource：【GitHub传送门】

* 参考来源：Securityautomation，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM