目前,我参与了一个为Workfusion机器人实施安全代码审查的项目。Workfusion可以处理嵌入在XML文件或独立代码中的Java和Groovy代码的混合。
我的团队正在尝试评估是否可以使用任何免费/开源的静态应用程序安全工具。我目前正在探索为 Spotbug 创建插件的可能性。
我能够使用Java代码+Maven与Spotbugs和FindSecBugs插件成功运行评论,但是我还没有弄清楚如何扩展Spotbugs以解析XML文件,提取嵌入式Groovy脚本并分析它们。
您是否知道适用于 Workfusion 的任何静态应用程序安全工具,或者可以建议任何扩展任何其他 SAST 工具的方法?
查找安全漏洞工作的主要要求是编译代码的能力。 如果您有权访问类文件,则 FindSecurityBug 应该可以工作。如果代码在运行时进行评估,则需要编译代码片段,如果脚本可以访问具有初始化对象的特殊上下文,则这不是一件容易的事。