Extensible (por los enchufes, ) Las herramientas de análisis estático como FindBugs pueden realzar la seguridad de sus usos de Java (tela así como usos independientes o de los cliente-servidor) de varias maneras significativas.


Hacer cumplir conformidad de la política de seguridad

Las políticas de seguridad son desposadas por los expertos de la seguridad tales como OWASP y asignado por mandato para la conformidad por muchas regulaciones tales como Sarbanes-Oxley que requieren organizaciones demostrar han hecho diligencia debida en la salvaguardia de seguridad de uso y de aislamiento de la información. Una política de seguridad es un documento de la especificación que define cómo el código necesita ser escrito para protegerlo contra ataques. Las políticas de seguridad incluyen típicamente requisitos de seguridad de encargo, requisitos de la aislamiento, mejores prácticas de la codificación de la seguridad, reglas del diseño del uso de la seguridad, y pruebas patrones de la prueba de seguridad.
El análisis estático se puede utilizar para verificar automáticamente si la mayoría de los requisitos de la política de seguridad están ejecutados realmente en el código y para identificar actualmente código non-compliant.

El análisis estático se puede utilizar para verificar automáticamente la conformidad del código a los requisitos específicos a la aplicación de la política de seguridad como, por ejemplo, para la autentificación, la autorización, registrar, y la validación de la entrada. Los pares de ejemplos de las políticas de seguridad que pueden ser aplicadas fácilmente son:
1. No importe WSDLs fuera de cierto dominio
2. No importe los esquemas fuera de cierto dominio

Las reglas específicas a una lengua de la política de seguridad se pueden también aplicar por ejemplo:
1. Asegúrese que todas las invocaciones sensibles del método estén registradas
2. Permita que solamente especifiquen a ciertos abastecedores para el método de Security.addProvider ()

El análisis estático se puede también utilizar para comprobar si el código se conforma con las mejores prácticas industry-standard de la seguridad desarrolladas para la lengua y las tecnologías aplicables.

Si usted se está convirtiendo en Java, usted querría hacer análisis estático para comprobar reglas de seguridad industry-standard de Java por ejemplo:
1. Valide un objeto de HttpServletRequest al extraer datos de ella
2. Utilice JAAS en un solo mecanismo de autentificación centralizado
3. No cause los callejones sin salida llamando un método sincronizado de un método sincronizado
4. Utilice solamente los algoritmos criptográficos fuertes

Para SOA, usted puede querer comprobar reglas industry-standard por ejemplo:
1. Evite los tipos ilimitados de la secuencia del esquema
2. Evite el xsd: cualesquiera, xsd: anyType y xsd: anySimpleType
3. Evite el xsd: enumere los tipos

Este artículo pide prestadas ideas de sistema-con el artículo, que desafortunadamente tensiona solamente en el producto de Parasoft. Mientras que usted puede hacer la mayor parte de el antedicho con la herramienta de Parasoft, usted puede también hacerla fácilmente con una herramienta libre del opensource - FindBugs. La línea de fondo es que el análisis estático puede mejorar perceptiblemente seguridad de uso y asegurar conformidad con estándares de la seguridad y pautas como Sarbanes-Oxley.