Ich bin auf der Suche nach einer Lösung, um Sicherheitsüberprüfung der Anwendungscode-Basis zum Zeitpunkt eines Builds zu implementieren. Die Idee besteht darin, eine Liste von Sicherheitslücken früh im Softwareentwicklungszyklus zu erfassen.Abhängigkeitsüberprüfung für den Anwendungscode
Ich habe ein einfaches Java-Projekt, das eine Maven-Build verwendet. Das Java-Projekt gibt eine Anzahl von .jar-Abhängigkeiten an und erstellt eine WAR-Datei als Build-Ausgabe.
Ich kam (und konnte konfigurieren) die Abhängigkeitsprüfung Maven-Plugin (http://jeremylong.github.io/DependencyCheck/dependency-check-maven/index.html). Obwohl es die Abhängigkeitsbereiche durchsucht und einen Sicherheitsbericht erstellt, scheint es das endgültige Artefakt nicht zu scannen - in meinem Fall ist das die .war-Datei.
Wie stelle ich sicher, dass auch der .war gescannt wird? Ist das Abhängigkeits-Check Plugin das richtige Werkzeug dafür?
Danke @micker. Nach einigen Kommentaren im Internet (http://meera-subbarao.blogspot.co.nz/2012/11/sonar-owasp-plug-in.html) scheint die Sonar-Option jedoch nicht robust genug zu sein. Gibt es andere Open-Source-Optionen, die Sie vorschlagen können? – mmukhe
Sonar (mit FindBugs) ist die robusteste Open-Source-Lösung, die ich kenne. Die statische Code-Analyse ist ein schwieriges Problem, weshalb so viel Forschung betrieben wird. False-Positive sind ein wirklich großes Problem unter diesen Tools, weshalb sie viel Tuning und manuelle Überprüfung erfordern. Sie können eine kommerzielle Option in Erwägung ziehen, wenn Sonar nicht ausreicht, aber auch Probleme haben. – micker