拡張可能(差込 によって) FindBugsのような静態分析 用具は 複数の重要な方法であなたのJavaアプリケーション(独立またはクライエント・サーバの適用と同様、網)の保証を高めることができる。


セキュリティポリシーの承諾の実施

セキュリティポリシーはOWASPのような保証専門家によって支持され、組織が示すように要求するSarbanes-Oxleyのような多くの規則によって承諾のために統治を委任されてアプリケーションセキュリティおよび情報プライバシーの保護の「適正評価」をした。 セキュリティポリシーは攻撃からそれを保護するためにコードがいかに書かれている必要があるか定義する指定文書である。 セキュリティポリシーは普通注文のセキュリティ要件、プライバシーの最良の方法を、保証適用設計規則コードする条件、保証および保証テストの基準を含んでいる。
静態分析が自動的にほとんどのセキュリティポリシーの条件がコードで実際に確かめ、不適合なコードを実行されるかどうか現在識別するのに使用することができる。

証明、承認、記録、および入力確認のために静態分析が自動的にアプリケーション特有のセキュリティポリシーの条件にコードの承諾をのような、例えば確認するのに、使用することができる。 容易に実行することができるセキュリティポリシーの例のカップルは次のとおりである:
1。 ある特定の範囲の外のWSDLsを輸入してはいけない
2。 ある特定の範囲の外のスキーマを輸入してはいけない

言語特定のセキュリティポリシーの規則はまたのような実行することができる:
1。 すべての敏感な方法呼び出しが記録されることを保障しなさい
2.ある特定の提供者だけ「Security.addProvider ()」方法のために指定されることを許可しなさい

また静態分析がコードが適当な言語および技術のために開発される業界標準の保証最良の方法に従うかどうか確認するのに使用することができる。

ジャワで成長すれば、業界標準のジャワの保証規則をのような点検するために静態分析をしたいと思う:
1.データをそれから得た場合HttpServletRequestの目的を認可しなさい
2。 単一の中心にされた認証機構でJAASを使用しなさい
3。 合わせられた方法からの合わせられた方法の呼出しによって行き詰まりをもたらしてはいけない
4。 強い暗号のアルゴリズムだけ使用しなさい

SOAのために、業界標準の規則をのような点検したいと思う場合もある:
1。 無限のスキーマ順序のタイプを避けなさい
2。 xsdを避けなさい: のxsd: anyTypeおよびxsd: anySimpleType
3。 xsdを避けなさい: タイプをリストしなさい

この記事は考えをからsys騙す 不運にも Parasoftのプロダクトでだけ重点を置く記事を借りる。 Parasoftの用具との上のほとんどをすることができる間、また自由なopensource用具- FindBugsによってそれを容易にすることができる。 最低損益は静態分析がかなりアプリケーションセキュリティを改善し、保証標準の承諾およびSarbanes-Oxleyのような指針を保障できることである。