Tôi đã sử dụng PMD và Findbug cho ứng dụng của mình nhưng củng cố quản lý để phát hiện một số lỗ hổng bảo mật trong ứng dụng của tôi. Tôi tự hỏi liệu có phần mềm nguồn mở nào khác thực hiện công việc tương tự như Fortify?Bất kỳ phần mềm nguồn mở nào tương tự như Fortify?
Sonar khá giống với Fortify. Tuy nhiên, nó tập trung nhiều hơn vào chất lượng/số liệu mã hơn là bảo mật. Có một số chồng chéo trong thông tin. Ngoài ra, có các plugin cho Sonar chẳng hạn như Security Rules cho phép bạn thêm các chỉ số bảo mật khác.
Nếu trọng tâm của bạn là bảo mật, bạn có thể hưởng lợi từ các quy tắc bảo mật bổ sung. Find Security Bugs là một bộ dò tìm FindBugs.
Disclaimer: Tôi là tác giả của công cụ này đề cập đến
Dưới đây là một danh sách đầy đủ các phân tích tĩnh duy trì bởi NIST: http://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html
1 cho Disclaimer! – user961954
Hey @ h3xStream có thể sử dụng plugin của bạn trong tệp build.xml không? – Jigar
Tôi chưa tự mình sử dụng. Nhưng đây là tài liệu: http://findbugs.sourceforge.net/manual/anttask.html – h3xStream