Allungabile ( dai collegamenti, ) Gli attrezzi di analisi statica come FindBugs possono aumentare la sicurezza delle vostre applicazioni di Java (fotoricettore così come le applicazioni dei client-servers o autonome) in parecchi sensi significativi.


Applicazione della conformità di politica di sicurezza

Le politiche di sicurezza sono sposate dagli esperti in sicurezza quale OWASP ed affidato per conformità da molte regolazioni quale Sarbanes-Oxley che richiedono le organizzazioni di dimostrare hanno fatto la dovuta diligenza nella salvaguardia la sicurezza di applicazione e della segretezza di informazioni. Una politica di sicurezza è un documento di specifica che definisce come il codice deve essere scritto per proteggerlo dagli attacchi. Le politiche di sicurezza comprendono tipicamente i requisiti di sicurezza su ordinazione, i requisiti di segretezza, le pratiche ottimali di codificazione di sicurezza, le regole di disegno di applicazione di sicurezza ed i segni di riferimento di prova di sicurezza.
L'analisi statica può essere usata per verificare automaticamente se la maggior parte dei requisiti di politica di sicurezza realmente siano realizzati nel codice e per identificare attualmente il codice non-compliant.

L'analisi statica può essere usata per verificare automaticamente la conformità del codice ai requisiti caratteristici dell'applicazione di politica di sicurezza come, per esempio, per l'autenticazione, l'autorizzazione, la registrazione e la convalida dell'input. Le coppie degli esempi delle politiche di sicurezza che possono essere realizzate facilmente sono:
1. Non importi WSDLs fuori di determinato dominio
2. Non importi gli schemi fuori di determinato dominio

Le regole specifiche di una lingua di politica di sicurezza possono anche essere realizzate come:
1. Accerti che tutte le invocazioni sensibili di metodo siano annotate
2. Permetta che soltanto i fornitori sicuri siano specificati per il metodo di Security.addProvider ()

L'analisi statica può anche essere usata per controllare se il codice aderisce alle pratiche ottimali industry-standard di sicurezza sviluppate per la lingua e le tecnologie applicabili.

Se stiate sviluppando in Java, vorreste fare l'analisi statica per controllare le regole di sicurezza industry-standard del Java come:
1. Convalidi un oggetto di HttpServletRequest quando estraggono i dati da esso
2. Utilizzi JAAS in un singolo meccanismo di autenticazione centralizzato
3. Non causi i punti morti denominando un metodo sincronizzato da un metodo sincronizzato
4. Usi soltanto le forti procedure crittografiche

Per SOA, potete volere controllare le regole industry-standard come:
1. Eviti i tipi illimitati di sequenza dello schema
2. Eviti il xsd: c'è ne, xsd: anyType e xsd: anySimpleType
3. Eviti il xsd: elenchi i tipi

Questo articolo prende in prestito le idee da sistema-con l'articolo, che purtroppo sollecita soltanto sul prodotto del Parasoft. Mentre potete fare la maggior parte del di cui sopra con l'attrezzo del Parasoft, potete anche farli facilmente con un attrezzo libero del opensource - FindBugs. La linea di fondo è che l'analisi statica può migliorare significativamente la sicurezza di applicazione ed accertare la conformità with i campioni di sicurezza e la guida di riferimento come Sarbanes-Oxley.