Verlengbaar (door plugins, ) De statische hulpmiddelen van de Analyse zoals FindBugs kunnen de veiligheid van uw toepassingen van Java (Web evenals standalone of client-servers toepassingen) op verscheidene significante manieren verbeteren.


Het afdwingen van veiligheidsbeleidnaleving

Het veiligheidsbeleid wordt aangenomen door veiligheidsdeskundigen zoals OWASP en verplicht gesteld voor naleving door vele verordeningen zoals sarbanes-Oxley die vereisen organisaties om aan te tonen hebben zij „gepaste ijver“ in het beschermen van toepassingsveiligheid en informatieprivacy gedaan. Een veiligheidsbeleid is een specificatiedocument dat bepaalt hoe de code moet worden geschreven om het tegen aanvallen te beschermen. Het veiligheidsbeleid omvat de vereisten van de douaneveiligheid, privacyvereisten, veiligheid het coderen beste praktijken, typisch het ontwerpregels van de veiligheidstoepassing, en veiligheids testende benchmarks.
De statische analyse kan worden gebruikt om automatisch te verifiëren of de meeste veiligheidsbeleidvereisten eigenlijk in de code worden uitgevoerd en momenteel nietvolgzame code identificeren.

De statische analyse kan worden gebruikt om de naleving van de code aan eisen van het toepassings de specifieke veiligheidsbeleid automatisch te verifiëren zoals, bijvoorbeeld, ten aanzien van authentificatie, vergunning, registreren, en inputbevestiging. Het paar van voorbeelden van veiligheidsbeleid die gemakkelijk kunnen worden ten uitvoer gelegd is:
1. Voer geen WSDLs buiten een bepaald domein in
2. Voer geen schema's buiten een bepaald domein in

Kunnen de specifieke het veiligheidsbeleidregels van de taal ook worden uitgevoerd zoals:
1. Verzeker alle gevoelige methodeaanroepingen worden geregistreerd
2. Laat slechts bepaalde leveranciers toe om voor de „()“ methode worden gespecificeerd Security.addProvider

De statische analyse kan ook worden gebruikt om te controleren of de code aan industrie-standaardveiligheids beste praktijken voldoet die voor de toepasselijke taal en de technologieën worden ontwikkeld.

Als u zich in Java ontwikkelt, zou u statische analyse willen maken om industrie-standaard de veiligheidsregels van Java zoals te controleren:
1. Bevestig een voorwerp HttpServletRequest wanneer het halen van gegevens uit het
2. Gebruik JAAS in één enkel gecentraliseerd authentificatiemechanisme
3. Veroorzaak geen impasses door een gesynchroniseerde methode van een gesynchroniseerde methode te roepen
4. Gebruik slechts sterke cryptografische algoritmen

Voor SOA, kunt u industrie-standaardregels zoals willen controleren:
1. Vermijd de grenzeloze types van schemaopeenvolging
2. Vermijd xsd: om het even welk, xsd: anyType en xsd: anySimpleType
3. Vermijd xsd: maak een lijst van types

Dit artikel leent ideeën van sys-bedriegt artikel, dat jammer genoeg slechts op het product van Parasoft beklemtoont. Terwijl u de meesten van bovengenoemd met het hulpmiddel van Parasoft kunt doen, kunt u het met een vrij opensourcehulpmiddel gemakkelijk ook doen - FindBugs. Het resultaat is dat de statische analyse toepassingsveiligheid kan beduidend verbeteren en naleving van veiligheidsnormen en richtlijnen zoals sarbanes-Oxley verzekeren.