目前,我正在参与一个为Workfusion机器人实施安全代码审查的项目。 Workfusion可以处理嵌入在XML文件或独立代码中的Java和Groovy代码的混合体。
我的团队正在尝试评估是否可以使用任何免费/开源的静态应用程序安全工具。我目前正在探索为Spotbugs创建插件的可能性。
我能够使用带有Spotbugs和FindSecBugs插件的Java代码+ Maven成功运行审阅,但是我还没有弄清楚如何扩展Spotbugs以解析XML文件,提取嵌入式Groovy脚本并进行分析。 / p>
您是否知道用于Workfusion的任何静态应用程序安全工具,或者可以建议任何扩展任何其他SAST工具的方法?
答案 0 :(得分:0)
查找安全漏洞的主要要求是能够编译代码。 如果您有权访问类文件,则FindSecurityBugs应该可以工作。如果代码是在运行时评估的,那么如果脚本可以访问带有初始化对象的特殊上下文,则需要编译此代码段并非易事。