产品线静态代码安全扫描

最新推荐文章于 2024-08-05 11:26:19 发布
转载 最新推荐文章于 2024-08-05 11:26:19 发布 · 216 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/tukwila/blog/1580590
文章标签:

#运维 #python #java

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

Findsecbugs是findbugs的一个扩展插件,专门发现代码中安全方面的漏洞;website:http://find-sec-bugs.github.io/

通过扫描源代码,findsecbugs能够发现121种不同的安全漏洞类型,关于漏洞类型,参考:http://find-sec-bugs.github.io/bugs.htm

Findsecbugs只能扫描java代码;支持主流的java开发框架,比如Spring-MVC, Struts等

Findsecbugs的使用方法:

1、 Findsecbugs可以安装在IDE比如Eclipse和IntelliJ中使用;如何在IDE中安装使用请参考:FindSecurityBugs简介.docx

2、 Findsecbugs除了可以在IDE中由开发人员自检之外,还可以作为jenkins插件成为CI中的一个环节;其支持Maven工程构建同时完成代码扫描。具体配置过程参见官网说明:https://github.com/find-sec-bugs/find-sec-bugs/wiki/Maven-configuration

3、 Findsecbugs还可以结合另外一款代码质量检测工具SonarQube做代码扫描,此方式待验证。

此工具适用范围:公司java研发人员、运维人员、安全测试人员

For java developer, 推荐每个开发同事在自己的IDE环境中把findbugs插件安装起来,并且配置findsecbugs这个选项,每次提交代码之前先自己扫描一遍;根据扫描结果和推荐修改方式纠正自己的代码;开发人员修复安全缺陷,请参考Java开发人员使用Findsecbugs事宜

For Ops developer, 请运维人员在jenkins里面安装findbugs插件,并配置jenkins代码主干或者分支的构建job,使其在maven编译成功以后就开始扫描安全缺陷;如果安全扫描结果发现非low之外的缺陷即发现了high/medium/normal的安全缺陷,则停止部署;安全缺陷修复以后再编译-->扫描pass-->部署;

For testing developer, 做安全测试之前可以先阅读一下findsecbugs的扫描结果,或者对findsecbugs的扫描结果做过滤。

 

转载于:https://my.oschina.net/tukwila/blog/1580590

静态代码安全扫描工具测评结果汇总
INSBUG的博客
03-11 829
2023年5月30日,OWASP中国基于目前行业内的相关调研报告以及行业共识,发布了《静态代码安全扫描工具测评基准》v2.0版本,对于静态代码安全扫描工具的测评基准进行了升级,基准涵盖部署环境、安全扫描、漏洞检测、源码支持、扩展集成、产品交互以及报告输出七个维度。在源码支持方面,CheckMarx部分满足,Fortify和SonarQube各满足1个和部分满足1个,而CodeSec完全满足,Xcheck满足1个,部分满足1个。安全扫描:共14个分项,其中7个满足,1个部分满足,6个不满足。
静态代码分析在 DevSecOps 中的实践与价值
wusiheng_Scrum的博客
01-08 754
DevSecOps 是将安全(Security)集成到 DevOps 流程中的实践,旨在确保软件开发的每个阶段都考虑到安全性。传统的安全测试通常是在开发后期进行,这可能导致安全漏洞被发现得太晚,修复成本高昂。而 DevSecOps 强调“安全左移”(Shift Left),即将安全测试和验证提前到开发早期,甚至在代码编写阶段就开始进行,从而减少后期的安全风险和修复成本。通过将安全融入到开发、测试和部署的每个环节,DevSecOps 不仅提高了软件的安全性,还加快了交付速度,减少了安全问题对业务的影响。
静态代码扫描
秀才的专栏
12-15 1524
【程序静态分析(Program Static Analysis)是指在不运行代码的方式下,通过词法分析、语法分析、控制流、数据流分析等技术对程序代码进行扫描,验证代码是否满足规范性、安全性、可靠性、可维护性等指标的一种代码分析技术】-百度 源代码静态分析实现原理不同,总的来说分为两种。一种是分析源代码编译后的中间文件(如sonar分析字节码),一种是分析源文件。分析字节码一般来说无法发现跨文件的
静态代码审计工具Cobra/Cobra-W/find-sec-bugs
公众号shadow sock7
02-03 5558
之前童话师傅写过一篇Cobra静态代码审计工具的源码分析,所以先看看这个工具吧。 源码在: https://github.com/WhaleShark-Team/cobra 后来还有Lo写的一个改版: https://github.com/LoRexxar/Cobra-W 都试试吧。 ...
Find-Sec-Bugs 静态代码安全审计安装使用手册
天天water的专栏
10-16 6578
目录 1. 前言 2. 插件简介 3. 插件安装扫描配置介绍  3.1 IntelliJ IDEA 配置介绍 3.1.1 插件安装 3.1.2 添加漏洞规则库 3.1.3 扫描配置 3.1.4 开始源码扫描 3.1.5 扫描结果  3.2 Eclipse 配置介绍 3.2.1 插件安装 3.2.2 开始源码扫描 3.2.3 扫描结果 4. 总结 参考原文地址:http...
【软件安全实验】使用Find Security Bugs工具静态分析WebGoat
qq_45858191的博客
12-19 1662
Find-Sec-Bugs 是扫描插件 FindBugs的 Java 安全漏洞规则扩展库,它支持在多种主流 IDE 环境进行安装:Eclipse, IntelliJ, Android Studio 和 NetBeans。WebGoat是OWASP组织研制出的用于进行Web漏洞实验的应用平台,官方网址是http:/www.owasp.org.cn/owasp-project/webscan-platform。控制、线程安全、操作隐藏字段、操纵参数、弱会话Cookie、SQL盲注、数字型SQL注入、
IBM推出的一款强大的静态代码分析工具,主要用于检测软件中的安全漏洞 该产品线的一个版本,它集成了先进的安全扫描技术和丰富的规则库,旨在帮助开发者在软件开发的早期阶段发现并修复潜在的安全问题
最新发布
04-16
旨在帮助开发者在软件开发的早期阶段发现并修复潜在的安全问题
Jenkins中集成.NET6的静态代码分析和安全扫描
## 1.1 什么是静态代码分析和安全扫描 静态代码分析是一种在不执行代码的情况下检查代码的过程,目的是查找可能导致错误或安全漏洞的代码模式。它可以帮助开发人员提前发现潜在的问题并改进代码质量。安全扫描则是...
聚焦汽车软件开发与测试:静态代码扫描、单元测试与集成测试等方面的实践应用
weixin_49715102的博客
08-05 1444
这是DevOps中的一个概念,即让测试人员在早期介入,更早地开始设计和定义测试用例,并伴随着开发周期进行测试,同时结合自动化测试工具,以尽早发现问题,缩短交付周期。使用自动化测试工具时,我们希望这些工具在精确计算复杂的覆盖率度量的同时,还能以用户友好的可视化形式,直观地展示结果,以便更清晰地了解软件的测试覆盖情况。此外,在使用自动化测试工具的过程中,同样需要注重测试用例的建立是否便捷。)和人工测试的Effort的比较,可以看出,尽管前期自动化测试在设计和定义上需要更多的投入,但长期来看,其优势愈发明显。
checkmarx-plugin:该插件增加了通过Checkmarx服务器执行自动代码扫描的功能,并在Jenkins界面中显示了结果摘要和趋势。
05-01
Jenkins的Checkmarx SAST插件 有关此插件的信息,请查看其 。
Find-Sec-Bugs 漏洞范例
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
Findbugs 缺陷详解与英文代号的对照表
weixin_33939843的博客
08-22 188
2019独角兽企业重金招聘Python工程师标准>>> ...
静态代码分析】FindBugs教程
weixin_39266845的博客
10-06 723
静态代码分析】FindBugs教程
国内外主流静态分析类工具汇总
热门推荐
manok的专栏
07-27 2万+
笔者从事该软件安全方面工作,在工作和学习中收集了国内外比较主流的静态分析类工具,供大家参考。大多是资料来自于网络整理,如有不足或欠缺,还请在评论中指出。我进行修正。也欢迎同行多多交流。 我使用0标注北大软件CoBOT,因为他是国内第一款基于主流SAST技术的静态分析工具,填补了国内在缺陷检测、安全漏洞软件工具上的空白。值得称赞的工具。 0、北大软件CoBOT CoBOT(库博)是北京大学...
FindBugs规则整理
我行我速
09-12 1万+
FindBugs是基于Bug Patterns概念,查找javabytecode(.class文件)中的潜在bug,主要检查bytecode中的bug patterns,如NullPoint空指针检查、没有合理关闭资源、字符串相同判断错(==,而不是equals)等 一、Security 关于代码安全性防护 1.Dm: Hardcoded constant database password
2018开源静态分析工具-第二部分-java
一个码农的笔记
10-24 1500
翻译自:https://medium.com/@prasincs/open-source-static-analysis-for-security-in-2018-part-2-java-f26605cd3f7f 翻译:聂心明 昨天,我讨论了最好用的python开源静态分析工具。那java呢?尽管所有人都讨厌它,但这个语言依然处在TIOBE index( https://www.tiobe.com...
maven代码规范检查(checkstyle、findbugs、pmd)
qq_20236937的博客
02-01 5630
很多时候我们的代码写的不规范,比如没缩进、参数间没空格、导入的包没用到没删除、方法很长没有进行拆分、 直接对方法参数进行了赋值分配等等不规范的操作或写法。为了规范代码并提高代码的质量,以及扫描代码检测潜在的不合理代码,我们可以使用一些插件来进行代码扫描分析。maven-checkstyle-plugin 是 maven 提供的一个插件,用于扫描代码检测不合理需要改进的差代码,简单来说就是代码规范检查。举个例子:GitHub 就用它在提交和拉取请求时审核代码库的一致性(例如缩进规则等)。
使用 Jenkins 和 Ansible 实现 CI/CD
Jenkins中文社区
09-09 1792
文章类型:翻译译者:wangwenjuan原文链接:https://jenkins-zh.cn/wechat/articles/2020/09/2020-09-09-ci-cd-with...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值