我想在Java上下文中应用安全规则。如果我在SONARQube 4.5.5中搜索规则,使用标签“security”,“owasp”,“cert”和“cwe”,我会找到超过150条规则。但是,这些规则来自几个存储库,因此我发现自己必须构建一个质量配置文件来对它们进行分组。
我在SONARQube网站上看到,SONARQube现在应该有4.5.4(http://docs.sonarqube.org/display/PLUG/Java+Plugin)的Java安全规则。阅读文章似乎意图是允许或多或少地自动应用这些安全规则。
有人可以解释如何这样做,或者如果我误解了。
答案 0 :(得分:0)
我是一名全栈安全工程师,我在工作时使用Sonarqube。我觉得保留所有标签更好,因为它跨越编码约定,错误检测和安全问题。但至少,您应该专注于CERT,因为它基于CERT的Java安全编码标准。
在此处查看更多信息: https://www.securecoding.cert.org/confluence/display/seccode/SEI+CERT+Coding+Standards