代码审计工具Findbugs自动检查CheckList及配置方法
5星 · 超过95%的资源 需积分: 16 58 浏览量
2012-10-21
18:27:46
上传
评论
收藏 26KB DOCX 举报 
代码审计工具 Findbugs 自动检查 CheckList 及配置方法
代码审计工具 Findbugs 是一个应用比较广泛的开源代码审计工具,如果开发团队利用
好了这个工具,能够很大程度上提高软件产品的安全性。而且重要的是 Free。
首先,介绍一下安全审计配置文件的位置,网上都没有这方面的资料,我自己找了几
个小时才找到。这个配置文件不在安装文件夹,也不再 Eclipse 软件的文件夹,而是在具体
项 目 的 工 作 空 间 workspace 中 , 具 体 位 置 是 : workspace\.metadata\.plugins\
edu.umd.cs.ndbugs.plugin.eclipse\.prefs。(以点开始的文件夹,还这么多层目录,很隐
蔽!!!)
这个文件中,选中要审计的项目其配置值会是“ TURE”,配置为不审计的项会是
“FALSE”。我们可以通过在工作中逐渐确定哪些安全项一定要检查,哪些不需要检查,确定
之后,整个开发团队使用同一个配置文件,从而实现标准化、自动化地审查开发团队的代
码。
其次,介绍一下 Findbugs 的大类,为如下几种:
Malicious code
vulnerability
恶意代码
Dodgy
小问题
Bad practice
不好的习惯
Bogus random noise
无效代码
Correctness
代码的正确性
Internationalization
国际化问题
Performance
性能问题
Security
安全性问题
Multithreaded currectness
线程问题
Experrimental
实验性问题
第三,介绍一下 Findbugs 的常见检查项的意思:
关键字 规则名 错误信息及建议
BC BC_UNCONFIRMED_CAST
由于没有进行类型检查, 可能会发生异常
ClassCastException。推荐在类型变换前,用
剩余11页未读,继续阅读
资源评论
netorgcom2014-09-30很有参考价值,谢谢!!
bailiju2014-02-20比较详细的步骤,对于初学者比较有用,可以学习一下。
一路向南的田鼠2012-12-03比较详细的步骤
yueyunjun
- 粉丝: 1
- 资源: 44
最新资源
- 238.html
- 基于C#.NET+PhantomJS+Sellenium的高级网络程序
- 基于Verilog HDL的五级流水线RISC-V CPU设计源码+报告文档(课程设计).zip
- 基于AMDavaScript模块加载器迄今为止对AMD理解最好的实现
- 基于Verilog HDL的五级流水线RISC-V CPU设计+报告文档+使用说明(高分项目).zip
- 基于 TypeScript 编写的 JavaScript 简洁 UI 库
- 基于正则匹配的 JavaScript 解密工具
- python实现基于SDN架构的网络流量监控和控制源码.zip
- 数据分析,数据可视化,numpy
- 基于 Vue3、Vite4、TypeScript/JavaScript、Tailwindcss、Vant4,开箱即用的移动端项目
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
