应用程序代码的依赖性检查
dependency-check for application code
我正在寻找一种在构建时实现应用程序代码库安全扫描的解决方案。这个想法是在 software 开发生命周期的早期捕获一系列安全漏洞。
我有一个使用 Maven 构建的简单 java 项目。 java 项目指定了一些 .jar 依赖项,并提供了一个 .war 文件作为构建输出。
我遇到了(并且能够配置)dependency-check maven 插件 (http://jeremylong.github.io/DependencyCheck/dependency-check-maven/index.html)。然而,虽然它扫描了依赖 jar 并提供了漏洞报告,但它似乎没有扫描最终的工件——在我的例子中是 .war 文件。
如何确保 .war 也被扫描? dependency-check 插件是正确的工具吗?
dependency-check 不是检查您自己的代码的正确工具。它使用已知漏洞报告列表来确定您的任何依赖项是否存在已知缺陷。它不会主动扫描代码。见 Plugin wiki
对于检查您自己的代码,HP 的 Fortify 是一个不错的商业解决方案,但如果您更多地使用 DIY 软件设置,我会推荐 Sonar。那里肯定有很多 静态代码分析 工具。各有利弊。
我正在寻找一种在构建时实现应用程序代码库安全扫描的解决方案。这个想法是在 software 开发生命周期的早期捕获一系列安全漏洞。
我有一个使用 Maven 构建的简单 java 项目。 java 项目指定了一些 .jar 依赖项,并提供了一个 .war 文件作为构建输出。
我遇到了(并且能够配置)dependency-check maven 插件 (http://jeremylong.github.io/DependencyCheck/dependency-check-maven/index.html)。然而,虽然它扫描了依赖 jar 并提供了漏洞报告,但它似乎没有扫描最终的工件——在我的例子中是 .war 文件。
如何确保 .war 也被扫描? dependency-check 插件是正确的工具吗?
dependency-check 不是检查您自己的代码的正确工具。它使用已知漏洞报告列表来确定您的任何依赖项是否存在已知缺陷。它不会主动扫描代码。见 Plugin wiki
对于检查您自己的代码,HP 的 Fortify 是一个不错的商业解决方案,但如果您更多地使用 DIY 软件设置,我会推荐 Sonar。那里肯定有很多 静态代码分析 工具。各有利弊。