有一些像Fortify这样的工具可以与IDE集成,以扫描源代码中的安全漏洞。但我期望的是像eclipse这样的IDE插件,它应该在键入代码时检查漏洞。 (可能在Java程序的情况下,对于每个分号(;),它应该检查漏洞)。如果该工具在旅途中推荐修复,那将是很好的。这样开发人员就可以修复漏洞,从而修复eclipse中的编译问题。与运行完整的代码扫描,检查漏洞,修复漏洞并再次扫描整个代码库相比,这确实会大大减少开发人员的时间。
市场上是否有这样的产品?如果没有,开发这样的东西是否可行?
答案 0 :(得分:1)
FindBugs也许可以以类似的方式工作,我已经将它设置为每次编译新文件时运行它并警告一些有趣的潜在错误。我所知道的唯一一个在你键入的插件是Checkstyle所以也许有一个类似的插件可以检查安全漏洞吗?
答案 1 :(得分:1)
Cigital.com他们有一个以'拼写检查'模式运行的插件。在您键入时,它将高亮显示漏洞代码。例如SQL注入,XSS等等。它工作得非常好,不像其他插件那样占用你的机器资源。
答案 2 :(得分:-1)
您还可以查看Ounce Labs和Coverity ...