ビルド時にアプリケーションコードベースのセキュリティスキャンを実装するソリューションを探しています。このアイデアは、ソフトウェア開発ライフサイクルの早い段階でセキュリティ脆弱性のリストを取得することです。アプリケーションコードの依存関係チェック
私は、Mavenビルドを使用する単純なJavaプロジェクトを持っています。 javaプロジェクトは多数の.jar依存関係を指定し、.warファイルをビルド出力として出力します。
依存関係チェック mavenプラグイン(http://jeremylong.github.io/DependencyCheck/dependency-check-maven/index.html)が見つかりました(構成できました)。しかし、それは依存関係のジャーをスキャンして脆弱性の報告を出すが、私の場合は.warファイルである最終的な成果物はスキャンしていないようだ。
.warも同様にスキャンするようにするにはどうすればよいですか? 依存関係チェックプラグインがこれに適したツールですか?
ありがとう@micker。しかし、インターネット上のいくつかのコメント(http://meera-subbarao.blogspot.co.nz/2012/11/sonar-owasp-plug-in.html)から判断すると、ソナーの選択肢は十分に頑強に見えません。提案できる他のオープンソースオプションはありますか? – mmukhe
Sonar(FindBugs)は、私が知っている最も強力なオープンソースソリューションです。静的コード分析は困難な問題であり、そのために多くの研究が行われています。偽陽性は、これらのツールの中では本当に大きな問題であり、チューニングと手動でのレビューの多くが必要です。ソナーが十分でない場合、商用オプションを検討したいかもしれませんが、問題もあります。 – micker