Extendable (by للتمديد (من قبل plugins ملحقات , ، ) Static Analysis tools like (ساكنة مثل ادوات التحليل FindBugs Findbugs can enhance the security of your Java applications (web as well as standalone or client-servers applications) in several significant ways. يمكن ان يحسن أمن تطبيقات جافا الذي لديك (على الانترنت وكذلك مستقل او التطبيقات لخدمة العملاء) في عدة نواح هامة.


Enforcing security policy compliance إنفاذ الامتثال للسياسة الامنية

Security policies are espoused by security experts such as OWASP and mandated for compliance by many regulations such as Sarbanes-Oxley that require organizations to demonstrate they have done "due diligence" in safeguarding application security and information privacy. السياسات الامنية هي التي تبناها خبراء الامن مثل owasp وتكليف لالامتثال من جانب العديد من الانظمه مثل Sarbanes - Oxley المنظمات التي تحتاج الى اثبات ما قاموا به من "العنايه اللازمة" في تطبيق الامن وحمايه المعلومات السرية. A security policy is a specification document that defines how code needs to be written to protect it from attacks. السياسة الامنية هي التي تحدد مواصفات الوثيقة كيف يحتاج الى قانون مكتوب لحمايتها من الهجمات. Security policies typically include custom security requirements, privacy requirements, security coding best practices, security application design rules, and security testing benchmarks. السياسات الأمنية وتشمل عادة والعرف متطلبات الأمن ، ومتطلبات الخصوصيه والامن والترميز افضل الممارسات ، تصميم تطبيق قواعد الامن ، والامن اختبار المقاييس.
Static analysis can be used to automatically verify whether most security policy requirements are actually implemented in the code and identify currently non-compliant code. ساكنة التحليل يمكن ان تستخدم تلقائيا الى التحقق مما اذا كانت معظم متطلبات السياسة الامنية في التنفيذ الفعلي لهذا القانون وتحديد الوقت الراهن غير المتوافقه مع المدونه.

Static analysis can be used to automatically verify the code's compliance to application specific security policy requirements like, for example, for authentication, authorization, logging, and input validation. ساكنة التحليل يمكن ان تستخدم تلقائيا للتحقق من الامتثال للقانون لتطبيق سياسة امنية محددة مثل الاحتياجات ، على سبيل المثال ، من أجل التوثيق ، اذن ، وقطع الاشجار ، واثبات المدخلات. Couple of examples of security policies that can be easily implemented are: زوجين من الامثله على السياسات الامنية التي يمكن ان يسهل تنفيذها هي :
1. Don't import WSDLs outside a certain domain لا استيراد wsdls معينة خارج النطاق
2. Don't import schemas outside a certain domain لا استيراد بعض المخططات خارج النطاق

Language specific security policy rules can also be implemented such as: اللغة قواعد محددة للسياسة الامنية ويمكن ايضا ان تنفذ مثل :
1. Ensure all sensitive method invocations are logged تأكد من ان جميع الدعوات التي تراعي طريقة تسجيل
2. Allow only certain providers to be specified for the "Security.addProvider()" method بعض مقدمي تسمح فقط لتكون المحدد ل"security.addprovider ()" طريقة

Static analysis can also be used to check whether code complies with industry-standard security best practices developed for the applicable language and technologies. ساكنة التحليل يمكن ان تستخدم ايضا لفحص ما اذا كان القانون ينسجم مع معايير الصناعة والامن وضعت لافضل الممارسات المطبقه اللغة والتكنولوجيات.

If you're developing in Java, you'd want to do static analysis to check industry-standard Java security rules such as: اذا كنت الناميه في يافا ، كنت أريد ان افعل ساكنة تحليل للتأكد من معايير الصناعة وقواعد الامن جافا مثل :
1. Validate an HttpServletRequest object when extracting data from it التحقق من وجود وجوه httpservletrequest عند استخراج البيانات منه
2. Use JAAS in a single centralized authentication mechanism Jaas في استخدام مركزي وحيد اليه التوثيق
3. Don't cause deadlocks by calling a synchronized method from a synchronized method لا تسبب الجمود من جانب الدعوة الى وسيلة من وتزامن وترافق طريقه
4. Use only strong cryptographic algorithms استخدام الخوارزميات القويه الترميز

For SOA, you may want to check industry-standard rules such as: لقانون ساربانيس -- اوكسلي ، قد ترغب في التحقق من معايير الصناعة والقواعد مثل :
1. Avoid unbounded schema sequence types تجنب مخطط تسلسل الانواع غير محدود
2. Avoid xsd:any, xsd:anyType and xsd:anySimpleType تجنب xsd : أي ، xsd : anytype وxsd : anysimpletype
3. Avoid xsd:list types تجنب xsd : قائمة انواع

This article borrows ideas from هذه المادة تقترض من الافكار sys-con نظام con - article, which unfortunately stresses only on Parasoft's product. هذه المادة التي تؤكد وللاسف الا على parasoft المنتج. While you can do most of the above with Parasoft's tool, you can also do it easily with a free opensource tool - FindBugs. يمكنك القيام به في حين ان معظم ما جاء اعلاه مع parasoft اداة لل، كما يمكنك القيام بذلك بسهولة مع حر مفتوح اداة -- findbugs. The bottomline is that static analysis can significantly improve application security and ensure compliance with security standards and guidelines like Sarbanes-Oxley . Bottomline فان التحليل هو ان ساكنة يمكن ان تسهم بقدر كبير في تحسين تطبيق الامن وضمان الامتثال للمعايير الامنية والمبادئ التوجيهيه مثل Sarbanes - Oxley.