Telescópico ( por encaixes, ) As ferramentas de análise de estática como FindBugs podem realçar a segurança de suas aplicações de Java (correia fotorreceptora assim como aplicações autônomas ou dos client-servers) em diversas maneiras significativas.


Reforçando a conformidade da política de segurança

As políticas de segurança são desposadas por peritos da segurança tais como OWASP e encarregado para a conformidade por muitos regulamentos tais como Sarbanes-Oxley que exigem organizações demonstrar fizeram a diligência devida em proteger a segurança de aplicação e a privacidade da informação. Uma política de segurança é um original da especificação que defina como o código precisa de ser escrito para o proteger dos ataques. As políticas de segurança incluem tipicamente exigências de segurança feitas sob encomenda, exigências da privacidade, melhores práticas da codificação da segurança, réguas do projeto da aplicação da segurança, e marcas de nível do teste de segurança.
A análise de estática pode ser usada para verific automaticamente se a maioria de exigências da política de segurança estão executadas realmente no código e para identificar atualmente o código non-compliant.

A análise de estática pode ser usada para verific automaticamente a conformidade do código às exigências características da aplicação da política de segurança como, por exemplo, para a autenticação, a autorização, o registo, e a validação da entrada. Os pares de exemplos das políticas de segurança que podem facilmente ser executadas são:
1. Não importe WSDLs fora de um determinado domínio
2. Não importe esquemas fora de um determinado domínio

As réguas específicas da política de segurança da língua podem igualmente ser executadas como:
1. Assegure-se de que todas as invocação sensíveis do método estejam registradas
2. Permita que somente determinados fornecedores sejam especific para de o método Security.addProvider ()

A análise de estática pode igualmente ser usada para verific se o código cumpra com as melhores práticas industry-standard da segurança desenvolvidas para a língua e as tecnologias aplicáveis.

Se você se está tornando em Java, você quereria fazer a análise de estática para verific réguas de segurança industry-standard de Java como:
1. Valide um objeto de HttpServletRequest ao extrair dados dela
2. Use JAAS em um único mecanismo de autenticação centralizado
3. Não cause paralizações completas chamando um método sincronizado de um método sincronizado
4. Use somente algoritmos criptograficamente fortes

Para SOA, você pode querer verific réguas industry-standard como:
1. Evite tipos ilimitados da seqüência do esquema
2. Evite o xsd: alguns, xsd: anyType e xsd: anySimpleType
3. Evite o xsd: aliste tipos

Este artigo pede idéias de sistema-con o artigo, que força infelizmente somente no produto de Parasoft. Quando você puder fazer a maioria do acima com ferramenta de Parasoft, você pode igualmente fazê-la facilmente com uma ferramenta livre do opensource - FindBugs. A linha de fundo é que a análise de estática pode significativamente melhorar a segurança de aplicação e assegurar a conformidade com padrões da segurança e as directrizes como Sarbanes-Oxley.