2

目前,我参与了一个为 Workfusion 机器人实施安全代码审查的项目。Workfusion 可以处理嵌入在 XML 文件或独立代码中的 Java 和 Groovy 代码的混合。

我的团队正在尝试评估是否可以为此使用任何免费/开源的静态应用程序安全工具。我目前正在探索为 Spotbugs 创建插件的可能性。

我能够使用带有 Spotbugs 和 FindSecBugs 插件的 Java 代码 + Maven 成功运行评论,但我还没有弄清楚如何扩展 Spotbugs 以解析 XML 文件、提取嵌入的 Groovy 脚本并分析它们。

您是否知道 Workfusion 的任何静态应用程序安全工具,或者可以建议任何方法来扩展任何其他 SAST 工具?

4

1 回答 1

0

Find Security Bugs 工作的主要要求是能够编译代码。如果您有权访问类文件,FindSecurityBugs 应该可以工作。如果代码是在运行时评估的,那么如果脚本可以访问带有初始化对象的特殊上下文,那么您将需要编译代码片段,这不是一件容易的事。

于 2018-11-13T16:59:40.813 回答