1

我想在 Java 上下文中应用安全规则。如果我搜索 SONARQube 4.5.5 中的规则,使用标签“security”、“owasp”、“cert”和“cwe”,我会发现超过 150 条规则。但是,这些规则来自多个存储库,因此我发现自己必须建立一个质量配置文件来对它们进行分组。

我在 SONARQube 网站上看到 SONARQube 现在应该具有 4.5.4 的 Java 安全规则基础(http://docs.sonarqube.org/display/PLUG/Java+Plugin)。阅读这篇文章似乎是为了或多或少地自动应用这些安全规则。

有人可以解释一下如何做到这一点,或者如果我误解了。

4

1 回答 1

0

我是一名全栈安全工程师,我在工作中使用 Sonarqube。我觉得最好保留所有标签,以便跨越编码约定、错误检测和安全问题。但至少,您应该关注 CERT,因为它基于 CERT 的 Java 安全编码标准。

在此处查看更多信息: https ://www.securecoding.cert.org/confluence/display/seccode/SEI+CERT+Coding+Standards

于 2016-08-31T15:30:20.177 回答