Мне неизвестны какие-либо инструменты с открытым исходным кодом, которые проводят статический анализ JavaScript.
Поиск в eval (), вероятно, не поможет ни с чем, кроме очень простых, очень очевидных ошибок.Еще сложнее будет проанализировать, был ли сценарий минимизирован или запутан, потому что вам будет сложно определить, используется ли аргумент безопасно или нет.
Существует множество проблем безопасности вJavaScript, основанный на взаимодействии с DOM.Обработка для eval () может работать, но она пропустит другие точки выполнения, такие как hrefs или обработчики событий, которые могут быть атакованы, например href = javascript: xss или onFoo = xss .Вам действительно нужен инструмент, который работает с JavaScript и DOM, а не просто консоль JavaScript.
IBM / Watchfire недавно выпустила статью о JavaScript-анализаторе , который они создали.В документе приводятся подробности о результатах, а не о реализации.Возможно, коммерческий инструмент - это не то, что вам нужно, но этот документ должен помочь пролить свет на проблемы, связанные с успешным выполнением этой задачи.