我正在寻找一种解决方案,以便在构建时实现应用程序代码库的安全扫描。我们的想法是在软件开发生命周期的早期捕获一系列安全漏洞。
我有一个使用maven构建的简单java项目。 java项目指定了许多.jar依赖项,并将.war文件作为构建输出。
我遇到了(并且能够配置)依赖项检查 maven插件(http://jeremylong.github.io/DependencyCheck/dependency-check-maven/index.html)。但是,虽然它扫描了依赖关系jar并提出了漏洞报告,但它似乎没有扫描最终的工件 - 在我的例子中是.war文件。
如何确保.war也被扫描? 依赖项检查插件是否适用于此工具?
答案 0 :(得分:3)
依赖项检查不是检查自己代码的正确工具。它使用已知漏洞报告列表来确定您的任何依赖性是否存在已知缺陷。它不会对代码进行主动扫描。见Plugin wiki
为了检查您自己的代码,HP的Fortify是一个不错的商业解决方案,但是如果您正在开发更多的DIY软件设置,我会推荐Sonar。当然有很多静态代码分析工具。都有优点和缺点。