Есть ли какой-нибудь инструмент SAST для кода Workfusion?

Question

Есть ли какой-нибудь инструмент SAST для кода Workfusion?

В настоящее время я участвую в проекте по внедрению проверок кода безопасности для ботов Workfusion. Workfusion может обрабатывать смесь кода Java и Groovy, встроенного в файлы XML или автономный код.

Моя команда пытается оценить, возможно ли использовать для этого какой-либо бесплатный инструмент для защиты статических приложений с открытым исходным кодом. В настоящее время я изучаю возможность создания плагина для Spotbugs.

Мне удалось успешно выполнить обзоры с помощью Java-кода + Maven с плагинами Spotbugs и FindSecBugs, но я не понял, как расширить Spotbugs для анализа XML-файлов, извлечения встроенных скриптов Groovy и их анализа.

Знаете ли вы какой-либо инструмент защиты статических приложений для Workfusion или можете предложить какой-либо подход для расширения любого другого инструмента SAST?

2

security groovy spotbugs workfusion find-sec-bugs

Источник

user10359575 13 сен '18 в 16:28

1 ответ

Другие вопросы по тегам security groovy spotbugs workfusion find-sec-bugs

user89769 13 ноя '18 в 16:59 2018-11-13 16:59 · Answer 1 · 2018-11-13 16:59

Основное требование для работы Find Security Bugs - это возможность компилировать код. Если у вас есть доступ к файлам классов, FindSecurityBugs должен работать. Если код оценивается во время выполнения, вам нужно скомпилировать фрагмент, который не является простой задачей, если скрипт имеет доступ к специальному контексту с инициализированными объектами.