Есть ли какой-нибудь инструмент sast для кода workfusion?

В настоящее время я участвую в проекте по внедрению проверок кода безопасности для ботов Workfusion. Workfusion может обрабатывать сочетание кода Java и Groovy, встроенного в файлы XML, или автономного кода.

Моя команда пытается оценить, можно ли использовать для этого какой-либо бесплатный инструмент защиты статических приложений с открытым исходным кодом. В настоящее время я изучаю возможность создания плагина для Spotbugs.

Мне удалось успешно провести обзоры с Java-кодом + Maven с плагинами Spotbugs и FindSecBugs, но я не понял, как расширить Spotbugs, чтобы анализировать файлы XML, извлекать встроенные скрипты Groovy и анализировать их.

Знаете ли вы какой-либо статический инструмент безопасности приложений для Workfusion или могли бы предложить какой-либо подход к расширению любого другого инструмента SAST?

2
0
105
1

Ответы 1

Основное требование для работы Find Security Bugs - это возможность компилировать код. Если у вас есть доступ к файлам классов, FindSecurityBugs должен работать. Если код оценивается во время выполнения, вам необходимо скомпилировать фрагмент, что является непростой задачей, если у сценария есть доступ к специальному контексту с инициализированными объектами.

Определенно такова моя ситуация: код Groovy встроен в файлы XML, которые выполняются в контексте Workfusion. В качестве временного решения мы посоветовали разработчикам максимально использовать код из файлов XML, чтобы обеспечить возможность компиляции.

Alex Percont 14.11.2018 20:20
github.com/find-sec-bugs/find-sec-bugs-demos/tree/master/… Инструкция по компиляции Groovy.
h3xStream 14.11.2018 21:04

Другие вопросы по теме