Workfusion 代码是不是有任何 SAST 工具?
Posted
技术标签:
【中文标题】Workfusion 代码是不是有任何 SAST 工具?【英文标题】:Is there any SAST tool for Workfusion code?Workfusion 代码是否有任何 SAST 工具? 【发布时间】:2019-02-18 10:38:35 【问题描述】:目前,我参与了一个为 Workfusion 机器人实施安全代码审查的项目。 Workfusion 可以处理嵌入在 XML 文件或独立代码中的 Java 和 Groovy 代码的混合。
我的团队正在尝试评估是否可以为此使用任何免费/开源的静态应用程序安全工具。我目前正在探索为 Spotbugs 创建插件的可能性。
我能够使用带有 Spotbugs 和 FindSecBugs 插件的 Java 代码 + Maven 成功运行评论,但我还没有想出如何扩展 Spotbugs 以解析 XML 文件、提取嵌入的 Groovy 脚本并分析它们。
您是否知道 Workfusion 的任何静态应用程序安全工具,或者可以建议任何方法来扩展任何其他 SAST 工具?
【问题讨论】:
【参考方案1】:Find Security Bugs 工作的主要要求是能够编译代码。 如果您有权访问类文件,FindSecurityBugs 应该可以工作。如果代码是在运行时评估的,那么如果脚本可以访问带有初始化对象的特殊上下文,那么您将需要编译 sn-p 这不是一件容易的事。
【讨论】:
这就是我的情况:Groovy 代码嵌入在 XML 文件中,这些文件在 Workfusion 的上下文中运行。作为临时解决方案,我们告诉开发人员从 XML 文件中提取大部分代码以允许编译。 github.com/find-sec-bugs/find-sec-bugs-demos/tree/master/… Groovy 编译说明。以上是关于Workfusion 代码是不是有任何 SAST 工具?的主要内容,如果未能解决你的问题,请参考以下文章
GitHub Marketplace SAST 工具 gitleaks
SonarQube 可以用于点网核心版本 3.2 应用程序的 SAST 吗?