使用 Bluemix Static Analyzer 对 Java 应用程序运行 SAST 扫描
IBM Bluemix 上的 Static Analyzer 服务为云带来了静态应用程序安全测试 (SAST) 的强大功能。此服务可帮助您在软件开发生命周期中尽早找到源代码漏洞,以便在部署之前修复它们。Static Analyzer 服务包含对结果的自动分类,以便只报告高置信度的、可操作的发现。
构建您的应用程序需要做的准备工作
- 一个 Bluemix 帐户,您在其中运行扫描。
- 在本地安装 Apache Maven 3.x。
- 示例 AltoroJMaven.zip 文件。使用获取代码按钮下载它:
“本教程介绍使用 Static Analyzer 服务扫描一个示例 Java™ Web 应用程序的过程。在本教程最后,您会看到一个在示例应用程序中发现的安全漏洞的显示报告。”
第 1 步. 在 Bluemix 上创建一个服务
- 登录到 Bluemix。
- 如果没有自动转到您的仪表板,可以单击窗口顶部的 Dashboard 。
- 单击 USE SERVICES OR APIS 转到目录。
- 选择页面左侧的类别列表中的 Security。
- 单击 Static Analyzer。
- 选择一个 App(或 Leave unbound),为服务提供一个名称,然后单击 USE。
成功创建服务后,您会转到一个显示了欢迎消息的页面:
第 2 步. 下载 Static Analyzer 客户端实用程序并生成一个 IRX 文件
现在您的服务已创建,您可在想要该服务扫描的本地系统上生成一个 IRX 文件。IRX 文件包含您应用程序的程序逻辑中的数据流的一种中间表示。Static Analyzer 分析此中间表示来查找您应用程序中的潜在安全漏洞。
- 在欢迎屏幕上,从列表中选择您的平台并单击 DOWNLOAD。
- 将 .zip 文件解压到您的本地系统。
- 以 Windows 管理员身份运行
install-plugins脚本。提示安装 Eclipse 插件时,回答 no。在提示安装 Maven 插件时输入 yes。
- 使用本教程中的获取代码按钮下载 JavaSample 应用程序。将下载的 .zip 文件解压到您的本地文件系统。在命令提示符上,更改到
AltoroJMaven
目录并执行下面这条命令:
mvn package com.ibm.appscan:appscan-maven-plugin:prepare
结果会在项目的目标目录中生成一个 IRX 文件。下面是成功生成 IRX 文件后的 Maven 输出的示例。
第 3 步. 上传生成的 IRX 文件以供分析
- 在 Bluemix 中,单击 Got it!I am ready to scan!
- 将生成的 IRX 文件拖放到 Bluemix 服务上。
- 单击 SCAN。
第 4 步. 查看结果
分析完成时,单击 VIEW REPORT 在浏览器中打开结果。
显示的结果应类似于下面的示例。向下滚动到 Executive Summary 部分中列出的 Issue Types,以查看找到的漏洞类型。单击列表中的一个问题类型,会获得有关发现的详细信息,包括问题的严重性,在源代码中发现问题的位置,以及感染后的数据在应用程序中的流动轨迹。
结束语
Bluemix 上的 Static Analyzer 服务提供了一种对应用程序运行 SAST 扫描的简单方式,以查找您源代码中的漏洞。与智能发现分析 (IFA) 技术(该技术可确保仅报告高置信度的、可操作的发现)相结合,用户可在软件开发生命周期中尽早找到和解决问题,从而节省时间和金钱。
进一步探索此服务的特性,您可能希望试验其他 IRX 生成客户端(Eclipse 插件和命令行接口),使用 Bluemix 上的 Static Analyzer 服务对您自己的应用程序运行 SAST 扫描。
Static Analyzer:帮助您在 Java 应用程序的开发阶段尽早查找和修复安全漏洞。
相关主题:AppScanApache Maven
正文到此结束
热门推荐
相关文章
近期评论
-
文章和留言都翻到11页了 没有OOM
-
-
朋友,翻页到11页,及以后,会出现OOM,无法访问
-
-
搞个gitee的项目
-
-
版本号是多少,你可以下载哪个代码仓库,jdk选1.8 直接跑就行
-
-
-
Loading...
![[HBLOG]公众号](https://www.liuhaihua.cn/img/qrcode_gzh.jpg)
