Extensible (por los enchufes, ) Las herramientas de an�lisis est�tico como FindBugs pueden realzar la seguridad de sus usos de Java (tela as� como usos independientes o de los cliente-servidor) de varias maneras significativas.


Hacer cumplir conformidad de la pol�tica de seguridad

Las pol�ticas de seguridad son desposadas por los expertos de la seguridad tales como OWASP y asignado por mandato para la conformidad por muchas regulaciones tales como Sarbanes-Oxley que requieren organizaciones demostrar han hecho diligencia debida en la salvaguardia de seguridad de uso y de aislamiento de la informaci�n. Una pol�tica de seguridad es un documento de la especificaci�n que define c�mo el c�digo necesita ser escrito para protegerlo contra ataques. Las pol�ticas de seguridad incluyen t�picamente requisitos de seguridad de encargo, requisitos de la aislamiento, mejores pr�cticas de la codificaci�n de la seguridad, reglas del dise�o del uso de la seguridad, y pruebas patrones de la prueba de seguridad.
El an�lisis est�tico se puede utilizar para verificar autom�ticamente si la mayor�a de los requisitos de la pol�tica de seguridad est�n ejecutados realmente en el c�digo y para identificar actualmente c�digo non-compliant.

El an�lisis est�tico se puede utilizar para verificar autom�ticamente la conformidad del c�digo a los requisitos espec�ficos a la aplicaci�n de la pol�tica de seguridad como, por ejemplo, para la autentificaci�n, la autorizaci�n, registrar, y la validaci�n de la entrada. Los pares de ejemplos de las pol�ticas de seguridad que pueden ser aplicadas f�cilmente son:
1. No importe WSDLs fuera de cierto dominio
2. No importe los esquemas fuera de cierto dominio

Las reglas espec�ficas a una lengua de la pol�tica de seguridad se pueden tambi�n aplicar por ejemplo:
1. Aseg�rese que todas las invocaciones sensibles del m�todo est�n registradas
2. Permita que solamente especifiquen a ciertos abastecedores para el m�todo de Security.addProvider ()

El an�lisis est�tico se puede tambi�n utilizar para comprobar si el c�digo se conforma con las mejores pr�cticas industry-standard de la seguridad desarrolladas para la lengua y las tecnolog�as aplicables.

Si usted se est� convirtiendo en Java, usted querr�a hacer an�lisis est�tico para comprobar reglas de seguridad industry-standard de Java por ejemplo:
1. Valide un objeto de HttpServletRequest al extraer datos de ella
2. Utilice JAAS en un solo mecanismo de autentificaci�n centralizado
3. No cause los callejones sin salida llamando un m�todo sincronizado de un m�todo sincronizado
4. Utilice solamente los algoritmos criptogr�ficos fuertes

Para SOA, usted puede querer comprobar reglas industry-standard por ejemplo:
1. Evite los tipos ilimitados de la secuencia del esquema
2. Evite el xsd: cualesquiera, xsd: anyType y xsd: anySimpleType
3. Evite el xsd: enumere los tipos

Este art�culo pide prestadas ideas de sistema-con el art�culo, que desafortunadamente tensiona solamente en el producto de Parasoft. Mientras que usted puede hacer la mayor parte de el antedicho con la herramienta de Parasoft, usted puede tambi�n hacerla f�cilmente con una herramienta libre del opensource - FindBugs. La l�nea de fondo es que el an�lisis est�tico puede mejorar perceptiblemente seguridad de uso y asegurar conformidad con est�ndares de la seguridad y pautas como Sarbanes-Oxley.