私たちのチームはOWASPのガイドラインをよりよく遵守したいと考えており、その1つはSQLインジェクション攻撃の防止です。これを容易にするために、コードベースでjava.sql.Statement
の使用状況を自動的にチェックする方法を探していたので、フラグを付けてPreparedStatement
に変更しました。プロジェクト内のjava.sql.Statementの使用を防止する方法を探しています
ビルドプロセスはMavenに基づいており、プロジェクトでアナリティクスを実行するためのSonarセットアップもあります。ある閾値が満たされていれば、私たちのビルドを失敗させるためのいくつかのルールがすでにSonarに設定されているため、そこに実装することができます。私は、インポートを探すcheckstyle正規表現のルールをどこで設定できるかを見てきましたが、他のオプションもあるかどうかを見たいと思っていました。
開発/ビルドパスに沿った任意の場所が機能します。これにフラグを立てるintellijに何かがあった場合、Maven構築プロセスの何か、またはSonarでこれをフラグする別の方法があれば、これらのどれもうまくいくでしょう。
ありがとう!!
準備注入命令でも同様の攻撃が可能であることに注意してください。 'connection.prepareStatement(" t1。* from t1、t1.code = '"+ code +"' ");'。最も良いことは、開発者を教育することです。 –
私たちはOWASP監査を行い、より具体的な項目を探します。私はこれに関するあなたの声明に同意しますが、我々は同様に検査の自動化された層のいくつかのタイプが欲しいです。 – jaycyn94