Потенциальные уязвимости в инструментах генерации кода

Question

Потенциальные уязвимости в инструментах генерации кода

Я работаю над созданием инструмента генерации кода с использованием JHipster. Он выдает подсказки в CLI, с помощью которых клиент может выбрать, а затем генерируется необходимый пакет Java для уровня CRUD микросервиса. Генератор кода в конвейере встраивает пакет в JAR-файл развертывания. Что еще можно сделать в области безопасности, помимо одобренных инструментов сканирования кода? Есть ли ссылки на модели потенциальных угроз для аналогичных инструментов, потенциальных уязвимостей или проблем безопасности, которые мы можем использовать в качестве ссылки или руководства по аналогичным инструментам генерации кода на основе Jhipster? Спасибо !

Используемые: инструменты сканирования кода, такие как Semgrep.

2

security jhipster code-generation threat-model advanced-threat-protection

Источник

user16842557 06 июн '23 в 04:59

1 ответ

Другие вопросы по тегам security jhipster code-generation threat-model advanced-threat-protection

user93960 06 июн '23 в 08:27 2023-06-06 08:27 · Answer 1 · 2023-06-06 08:27

Генератор JHipster — это узловое приложение, поэтому вы можете сканировать его как любое другое узловое приложение, используяnpm auditили другой инструмент, совместимый с npm, то же самое и для вашего собственного инструмента.

Затем наиболее важной частью является сканирование сгенерированного кода как части вашей цепочки инструментов непрерывной интеграции (sonarqube, snyk, gitlab, ..) и сканирование уязвимых зависимостей (плагин зависимостей maven owasp, ...).