Workfusion 代码是不是有任何 SAST 工具？

Posted 2023-02-19

【中文标题】Workfusion 代码是不是有任何 SAST 工具？

【英文标题】：Is there any SAST tool for Workfusion code?Workfusion 代码是否有任何 SAST 工具？

【发布时间】：2019-02-18 10:38:35

【问题描述】：

目前，我参与了一个为 Workfusion 机器人实施安全代码审查的项目。 Workfusion 可以处理嵌入在 XML 文件或独立代码中的 Java 和 Groovy 代码的混合。

我的团队正在尝试评估是否可以为此使用任何免费/开源的静态应用程序安全工具。我目前正在探索为 Spotbugs 创建插件的可能性。

我能够使用带有 Spotbugs 和 FindSecBugs 插件的 Java 代码 + Maven 成功运行评论，但我还没有想出如何扩展 Spotbugs 以解析 XML 文件、提取嵌入的 Groovy 脚本并分析它们。

您是否知道 Workfusion 的任何静态应用程序安全工具，或者可以建议任何方法来扩展任何其他 SAST 工具？

【参考方案1】：

Find Security Bugs 工作的主要要求是能够编译代码。 如果您有权访问类文件，FindSecurityBugs 应该可以工作。如果代码是在运行时评估的，那么如果脚本可以访问带有初始化对象的特殊上下文，那么您将需要编译 sn-p 这不是一件容易的事。

【讨论】：

这就是我的情况：Groovy 代码嵌入在 XML 文件中，这些文件在 Workfusion 的上下文中运行。作为临时解决方案，我们告诉开发人员从 XML 文件中提取大部分代码以允许编译。

github.com/find-sec-bugs/find-sec-bugs-demos/tree/master/… Groovy 编译说明。