java - SQLインジェクションファインダー

Question

Javaベースのクライアント/サーバープロジェクトがあります。最近、テスターの1人が、アプリケーションのテスト中にSQLインジェクションの脆弱性を発見しました。

アプリケーションのSQLインジェクションを手動でチェックするための十分なリソースがありません。

JavaコードのSQLの脆弱性を検出するSQLインジェクションファインダー/静的コードアナライザーはありますか？

Answer 1

はい！

ここにあるいくつかの：

• CodeSecureの装甲
• FindBugs
• YASCA
• HPFortify静的コードアナライザー
• Parasoft
• klockwork INSIGHT
• コベリティ静的分析
• VeraCode
• Checkmarx
• IBM Appscan

読む：OWASPのソース分析ツールのリスト

Answer 2

Findbugsにはそれらをチェックするモジュールがありますが、まだ自分で実行していません。 http://findbugs.sourceforge.net/api/edu/umd/cs/findbugs/detect/FindSqlInjection.html