1

Java コンテキストでセキュリティ ルールを適用したいと考えています。タグ「security」、「owasp」、「cert」、「cwe」を使用して SONARQube 4.5.5 のルールを検索すると、150 以上のルールが見つかります。ただし、これらのルールは複数のリポジトリから取得されるため、それらをグループ化するための品質プロファイルを作成する必要があります。

SONARQube の Web サイトを見ると、SONARQube は 4.5.4 ( http://docs.sonarqube.org/display/PLUG/Java+Plugin ) からの Java セキュリティ ルールのベースを持っているはずです。この記事を読むと、これらのセキュリティ ルールの適用を多かれ少なかれ自動的に許可することを意図しているように見えます。

誰かがそうする方法を説明してもらえますか、またはおそらく私が誤解している場合.

4

1 に答える 1

0

私はフルスタックのセキュリティ エンジニアで、職場で Sonarqube を使用しています。コーディング規則、バグ検出、およびセキュリティの問題にまたがるように、すべてのタグを保持する方がよいと思います。ただし、CERT は CERT の Secure Coding Standards in Java に基づいているため、少なくとも CERT に注目する必要があります。

詳細はこちら: https://www.securecoding.cert.org/confluence/display/seccode/SEI+CERT+Coding+Standards

于 2016-08-31T15:30:20.177 に答える