代码审计[findbugs插件介绍]

最新推荐文章于 2024-09-15 08:27:41 发布
最新推荐文章于 2024-09-15 08:27:41 发布
阅读量991 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 杂项
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39325340/article/details/80775705
本文介绍 FindSecurityBugs 插件的功能及其配置方式,该插件用于检测 Java 代码中的安全性问题,特别是针对 DES 和 DESede 加密算法的使用情况。文章详细解析了配置文件中的规则定义及实现原理。

插件文件:sonar-findbugs-plugin-3.7.0.jar

findbugs.xml  主配置文件:代码规则分析

<Detector class="com.h3xstream.findsecbugs.crypto.DesUsageDetector" reports="DES_USAGE"/>
# class="com.h3xstream.findsecbugs.crypto.DesUsageDetector"  引用的数据包
# reports="DES_USAGE" 对应规则定义的key

org.sonar.plugins.findbugs.rules.FindSecurityBugsRulesDefinition 规则对应说明配置文件

package org.sonar.plugins.findbugs.rules;

import org.sonar.api.server.rule.RulesDefinition;
import org.sonar.api.server.rule.RulesDefinition.Context;
import org.sonar.api.server.rule.RulesDefinition.NewRepository;
import org.sonar.api.server.rule.RulesDefinitionXmlLoader;

public final class FindSecurityBugsRulesDefinition
  implements RulesDefinition
{
  public static final String REPOSITORY_KEY = "findsecbugs";            #资源库key
  public static final String REPOSITORY_NAME = "Find Security Bugs";    #资源库名称
  public static final int RULE_COUNT = 104;
  
  public void define(RulesDefinition.Context context)
  {
    RulesDefinition.NewRepository repository = context.createRepository("findsecbugs", "java").setName("Find Security Bugs");
    
    RulesDefinitionXmlLoader ruleLoader = new RulesDefinitionXmlLoader();
    ruleLoader.load(repository, FindSecurityBugsRulesDefinition.class.getResourceAsStream("/org/sonar/plugins/findbugs/rules-findsecbugs.xml"), "UTF-8");
    repository.done();
  }
}


org.sonar.plugins.findbugs.rules-findsebus.xml  # 规则对应说明配置文件

 

<rule key='DES_USAGE' priority='MAJOR'>      
    <name>Security - DES/DESede is insecure</name>
    <configKey>DES_USAGE</configKey>
    <description><p>
DES and DESede (3DES) are not considered strong ciphers for modern applications. Currently, NIST recommends the 
usage of AES block ciphers instead of DES/3DES.
</p>
<p>
    <b>Example weak code:</b>
<pre>Cipher c = Cipher.getInstance("DESede/ECB/PKCS5Padding");
c.init(Cipher.ENCRYPT_MODE, k, iv);
byte[] cipherText = c.doFinal(plainText);</pre>
</p>
<p>
    <b>Example solution:</b>
    <pre>Cipher c = Cipher.getInstance("AES/GCM/NoPadding");
c.init(Cipher.ENCRYPT_MODE, k, iv);
byte[] cipherText = c.doFinal(plainText);</pre>
</p>
<br/>
<p>
<b>References</b><br/>
<a href="http://www.nist.gov/itl/fips/060205_des.cfm">NIST Withdraws Outdated Data Encryption Standard</a><br/>
<a href="http://cwe.mitre.org/data/definitions/326.html">CWE-326: Inadequate Encryption Strength</a>
</p></description>
    <tag>owasp-a6</tag>
    <tag>cryptography</tag>
    <tag>cwe</tag>
    <tag>security</tag>
 </rule>


 

IntelliJ IDEA 中的 Java 代码审查插件推荐
Java大师兄的博客
07-15 368
本文旨在为 Java 开发者提供一份全面的 IntelliJ IDEA 代码审查插件指南,覆盖从基础语法检查到复杂架构分析的全方位解决方案。我们将重点介绍插件的核心功能、集成方式和最佳实践。本文将首先介绍代码审查的基本概念,然后详细分析各类插件的功能特点,接着提供实际配置和使用示例,最后讨论如何将这些工具整合到开发流程中。静态代码分析:在不执行程序的情况下分析源代码的质量和潜在问题代码审查:系统性地检查源代码以发现错误、改进质量和分享知识的过程持续集成:频繁地将代码集成到共享仓库并自动验证的实践。
FindBugs详细介绍
武天旭的博客
10-06 2456
Findbugs 是一个静态分析工具,通过检查类或者 JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。Findbugs不注重style及format,注重检测真正的bug及潜在的性能问题,尤其注意了尽可能抑制误检测(falsepositives)的发生。利用这个工具,就可以在不实际运行程序的情况对软件进行分析。它可以帮助改进代码的质量。
IDEA SpotBugs代码安全审计插件
洋洋的小黑屋
04-18 1591
IDEA SpotBugs代码安全审计插件 在寻找idea代码审计插件的时候,发现Findbugs已经停止更新,无法在idea2020.01版本运行,由此找到SpotBugs SpotBugs介绍 SpotBugs是Findbugs的继任者(Findbugs已经于2016年后不再维护),用于对代码进行静态分析,查找相关的漏洞。 安装使用 在 Plugins 选项搜索 SpotBugs ...
Find-Sec-Bugs 静态代码安全审计安装使用手册
天天water的专栏
10-16 6606
目录 1. 前言 2. 插件简介 3. 插件安装扫描配置介绍  3.1 IntelliJ IDEA 配置介绍 3.1.1 插件安装 3.1.2 添加漏洞规则库 3.1.3 扫描配置 3.1.4 开始源码扫描 3.1.5 扫描结果  3.2 Eclipse 配置介绍 3.2.1 插件安装 3.2.2 开始源码扫描 3.2.3 扫描结果 4. 总结 参考原文地址:http...
idea java代码审计必备插件
Thunderclap的博客
07-05 4580
idea代码审计常用插件
Sonar集成插件FindBugs---Sona离线安装插件FindBugs
q1335882的专栏
07-03 4744
安装插件 本人安装时候遇到问题,无法下载成功,那怎么做呢? 离线安装吧。。。 插件git地址:https://github.com/spotbugs/sonar-findbugs/ 下载后,解压,目录路径下 执行:mvn clean install 打包成功后 将sonar-findbugs-plugin.jar 放入**\sonarqube-7.8\extensions...
静态代码审计工具Cobra/Cobra-W/find-sec-bugs
公众号shadow sock7
02-03 5647
之前童话师傅写过一篇Cobra静态代码审计工具的源码分析,所以先看看这个工具吧。 源码在: https://github.com/WhaleShark-Team/cobra 后来还有Lo写的一个改版: https://github.com/LoRexxar/Cobra-W 都试试吧。 ...
findbugs插件
04-12
5. **报告生成**:FindBugs可以生成HTML或XML格式的报告,这对于团队协作和代码审计非常有用。报告详细列出了每个问题的位置、描述和建议的解决方案。 6. **与其他工具的兼容性**:FindBugs不仅支持Eclipse,还可以...
第55天:代码审计-JAVA项目注入上传搜索或插件挖掘1
08-03
接下来,我们介绍IDEA审计插件FindBugsFindBugs是一款静态代码分析工具,它可以在编码阶段就检测出潜在的错误和不良实践。安装FindBugs非常简单,通常可以通过IntelliJ IDEA的插件市场下载并安装。使用该插件...
FindBugs-IDEA插件的使用
热门推荐
zhaohonghan的博客
04-03 1万+
一、 前言 FindBugs是一款Java静态代码分析工具,与其他静态分析工具(如Checkstyle和PMD)不同,FindBugs不注重样式或者格式,它专注于寻找真正的缺陷或者潜在的性能问题,它可以帮助java工程师提高代码质量以及排除隐含的缺陷。有了静态分析工具,就可以在不实际运行程序的情况对软件进行分析。Eclipse中有插件可以帮助查找代码中隐藏的bug,IDEA中也有这款插件。 在Fi...
【Java代码审计代码审计的方法及常用工具
大河之犬的博客
05-10 2318
Eclipse 是 Java 开发者非常喜欢的工具之一,它具有强大的编辑、调试功能,允许开发人员安装不同的插件,从而拓展不同的功能。Burp Suite 是渗透测试工作者必备的一款工具,同时对于代码审计者和安全研究人员来说,这也是一款比较重要的测试工具,其跨平台、便捷、强大的功能以及丰富的插件,深受信息安全从业者的喜爱。Ysoserial 是一款开源的 Java 反序列化测试工具,内部集成有多种利用链,可以快速生成用于攻击的代码,也可以将新公开的反序列化漏洞利用方式自行加入 Ysoserial 中。
阿里代码审计插件
03-26
插件,阿里审查代码插件插件插件插件插件插件
IDEA代码审计辅助插件(深信服深蓝实验室天威战队强力驱动)使用教程
最新发布
gitblog_00784的博客
09-15 956
IDEA代码审计辅助插件(深信服深蓝实验室天威战队强力驱动)使用教程 1. 项目目录结构及介绍 inspector/ ├── idea/ │ ├── idea/ │ ├── run/ │ └── gradle/wrapper/ ├── src/main/ │ ├── java/ │ └── resources/ ├── .gitignore ├── LICENSE ├── RE...
Eclipse 5个有用的插件【代码质量分析】
smshuxue的专栏
06-06 2053
在 Eclipse 中使用 5 个有用的插件来自动化代码质量分析 如果能在构建代码前发现代码中潜在的问题会怎么样呢?很有趣的是,Eclipse 插件中就有这样的工具,比如 JDepend 和 CheckStyle,它们能帮您在软件问题暴露前发现这些问题。 开发软件时,我的主要目标之一是:要么防止将缺陷引入代码库,要么限制缺陷的生存期;换言之,要尽早找到缺陷。很显然,越是了解如何编写更好的
异常分析
起于心止于唇的博客
03-12 233
Error:java: Annotation processing is not supported for module cycles. 模块循环依赖,查看两个模块pom.xml文件是否有相互依赖,删除重启即可。 BindingException:Parameter ‘***’ not found报错解决。 在mybaties中,从mapper到xml似乎有一个找不到参数的报错,实际上只要在M...
提高 Java 代码安全性
免费
08-01 496
为了帮助解决这个问题,OWSAP提供了一个出色的工具,可以扫描您的所有依赖项,并将它们与集中维护的漏洞数据库进行匹配。发现任何此类问题后,它会报告问题及其 Maven 坐标的详细信息,例如组、工件和版本详细信息。为了解决这个问题,一些中央组织维护着一个数据库,其中包含在特定版本的库中发现的安全问题。开发人员审查易受攻击的代码,应用适当的输入验证和参数化查询以防止 SQL 注入攻击,并重新测试应用程序以确保漏洞得到缓解。幸运的是,有两种流行的工具可以扫描代码并报告任何安全和过时的依赖项问题。
自定义SonarQube Java规则
程军高的专栏
11-06 2869
重写Sonar PMD插件定义我们自己的Java代码扫描规则
SonarQube的使用-集成Findbugs
weixin_44689968的博客
04-08 5150
一丶SonarQube简介 1.sonar是什么 Sonar是一个用于代码质量管理的开源平台,用于管理代码的质量,通过插件形式可以支持二十几种语言的代码质量检测,通过多个维度的检查了快速定位代码中潜在的或者明显的错误。 2. SonarQube与Sonar SonarQube是sonar的服务端,相当于一个web服务器中的tomcat,用来发布应用,在线浏览分析等。 二丶安装 基于Window10+Sonqube7.6+Mysql5.7+SonarScanner4.2+JDK1.8 1.官网下
面向对象之多态--什么是多态?多态思想?存在的前提?多态运用
weixin_44268113的博客
10-11 483
多态        同一操作作用与不同类的实例,将产生不同的执行结果,即不同类的对象收到相同的消息时,将得到不同的结果。        例如吃食物这个操作作用于狗和猫,将产生不同的结果,狗吃骨头,猫吃鱼。 存在的前提        继承      &n
idea 代码审计插件
04-05
一种可能的实现方式是...6. 支持用户自定义规则和策略,以满足特定的代码审计需求。 7. 集成其他安全工具,如代码混淆、加密、签名等,提高代码安全性。 8. 不断优化插件性能和代码质量,保证插件的稳定性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值