可伸张(由 插入) 象FindBugs的静态分析 工具 可能加强您的Java应用程序(并且独立或客户端服务器应用的网)安全用几个重大方式。


强制执行安全策略服从

安全策略由安全专家拥护例如OWASP,并且要求为服从由要求组织展示的许多章程例如Sarbanes-Oxley他们做了“适当努力”在保障应用程序安全和信息保密性。 安全策略是定义了的规格文件代码怎么需要被写保护它免受攻击。 安全策略典型地包括习惯安全要求、保密性要求、安全编码最优方法的,安全应用设计规则和安全测试基准。
静态分析可以被用于自动地核实多数安全策略要求是否在代码实际上被实施和当前辨认固执的代码。

静态分析可以为认证,授权,采伐和输入检验被用于自动地核实代码的服从到有特殊用途的安全策略要求象,例如。 的安全策略的例子夫妇可以容易地被实施是:
1. 不要进口在某一领域之外的WSDLs
2. 不要进口在某一领域之外的图解

特定语言的安全策略规则可能也被实施例如:
1. 保证所有敏感方法祈求被采伐
2.允许只有某些提供者为“Security.addProvider ()”方法指定

静态分析可能也被用于证实代码是否遵照工业标准的为可适用的语言和技术开发的安全最优方法

如果您在Java开发,您会想做静态分析检查工业标准的Java安全规则例如:
1.,当提取数据从它时,确认一个HttpServletRequest对象
2. 使用JAAS在唯一集中化认证机构
3. 不要通过叫从一个同步的方法的一个同步的方法导致僵局
4. 使用仅强的密码算法

对于SOA,您可以想要检查工业标准的规则例如:
1. 避免无边际的图解序列类型
2. 避免xsd :其中任一, xsd :anyType和xsd :anySimpleType
3. 避免xsd :列出类型

这篇文章借用想法从 sys精读 文章,不幸地在Parasoft的产品仅注重。 当您能做多数在上面与Parasoft的工具时,您能容易地也做它与一个自由opensource工具- FindBugs。 最后结果是静态分析可能极大改进应用程序安全和保证象Sarbanes-Oxley的遵照安全标准和指南。