静态代码安全审计神器

"序言

是不是有在开发设计完新项目公布之后才被告之你的新项目编码存有安全隐患，也要回来追忆编码逻辑性，再次改动公布，是否非常不愿做这这件重复劳动的事儿？

这里给大伙儿详细介绍这款可在当地应用的编码安全扫描软件，便捷在设计阶段自动化技术安全大检查，减少漏洞修复時间和降低系统漏洞出現的几率。

软件介绍

软件详细介绍：Find-Sec-Bugs 是这款当地 Bug 扫描仪软件 “FindBugs-IDEA” 的 javas 网络安全问题标准拓展库，它适用在多种多样流行 IDE 自然环境开展安裝：Eclipse, IntelliJ, Android Studio 和 NetBeans。

扫描仪范畴：只扫描仪 javas 编码，适用流行的 javas 开发设计架构，例如 Spring-MVC, Struts 等。

扫描仪系统漏洞种类：根据扫描仪源码，可以发觉126种不一样的网络安全问题种类，有关系统漏洞种类请参照：https://find-sec-bugs.github.io/bugs..asp。

软件安裝扫描仪配备详细介绍

IntelliJ IDEA 配备详细介绍

1）版本号要求：IntelliJ IDEA 13.0或左右（18年之后公布的版本号基础都适用）

2）提前准备工作中：IntelliJ IDEA：https://WWW.jetbrains.Com/idea/；

FindBugs-IDEA 安装文件：https://plugins.jetbrains.Com/plugin/3847-findbugs-idea；

Find-Sec-Bugs 安装文件：.com://find-sec-bugs.github.io/。

软件安裝

演试版本号：IntelliJ IDEA 2018.1.3(Community Edition)

IntelliJ 安裝 FindBugs-IDEA 软件流程：

“File” -> “Settings” -> “Plugins”.

软件安裝方法有免费在线和离线下载二种。

免费在线安裝：立即在 “Plugins” 检索栏键入“Findbugs” ，点一下 “Search In repositories”，选定 “Findbugs-IDEA” 后点一下 Install：

离线下载安裝：若早已安装了软件压缩文件可在 “Plugins” 对话框点一下 “Install plugin from disk” 挑选离线下载安裝。

特别注意1：FindBugs-IDEA 安裝进行，必须重新启动后才可应用。

特别注意2：FindBugs-IDEA 只对于编码标准开展扫描仪，标准库位欠缺网络安全问题的标准，因而必须加上网络安全问题标准库 “Find-Sec-Bugs。

接下去详细介绍下系统漏洞标准库的加上方式。

加上系统漏洞标准库

点一下 “File” -> “Settings” 会发觉 “Settings” 控制面板增加了 “FindBugs-IDEA” 选择项。

挑选 “FindBugs-IDEA” 选择项只能在 “Plugins” 内加上相对的扫描仪标准库，方式同上，在这里加上网络安全问题标准库 “Find-Sec-Bugs”：

未免费下载的在此地挑选免费在线安裝：

已免费下载jar包的能够在此地挑选当地安裝：

扫描仪配备

“File” -> “Settings” -> “FindBugs-IDEA” -> “Report”.

可依据要求选择要扫描仪的有关主题风格，风险性警示和命中率，如图所示配备挑选开展安全性漏洞扫描。

人们这儿关心安全性种类的 Bug，因此发票勾选 “Security” 选择项。默认设置汇报配备最少风险性警示（Minimum rank）是30，命中率（Minimum confidence）是 Medium。

刚开始源代码扫描仪

在新项目文件目录鼠标右键会发觉有一个 “FindBugs” 选择项，能够挑选剖析某一控制模块或是全部新项目。挑选给出如图所示选择项后便刚开始开展安全扫描：

特别注意：初次开展扫描仪时 IntelliJ 会先对新项目开展编译和检验依赖包，编译进行后必须再度运作才会开展真实的扫描仪。

扫描仪結果

扫描仪进行后 “FindBugs-IDEA” 会显示信息相对結果，挑选增加安全类有关內容至少1个只能在正中间对话框查询难题编码及其相匹配稿子，右边对话框会显示信息相匹配系统漏洞解