转载

使用 Bluemix Static Analyzer 对 Java 应用程序运行 SAST 扫描

 

IBM Bluemix 上的 Static Analyzer 服务为云带来了静态应用程序安全测试 (SAST) 的强大功能。此服务可帮助您在软件开发生命周期中尽早找到源代码漏洞,以便在部署之前修复它们。Static Analyzer 服务包含对结果的自动分类,以便只报告高置信度的、可操作的发现。

构建您的应用程序需要做的准备工作

 
  • 一个 Bluemix 帐户,您在其中运行扫描。
  • 在本地安装 Apache Maven 3.x。
  • 示例 AltoroJMaven.zip 文件。使用获取代码按钮下载它:

获取代码

本教程介绍使用 Static Analyzer 服务扫描一个示例 Java™ Web 应用程序的过程。在本教程最后,您会看到一个在示例应用程序中发现的安全漏洞的显示报告。

第 1 步. 在 Bluemix 上创建一个服务

 
  1. 登录到 Bluemix。
  2. 如果没有自动转到您的仪表板,可以单击窗口顶部的 Dashboard
  3. 单击 USE SERVICES OR APIS 转到目录。 使用 Bluemix Static Analyzer 对 Java 应用程序运行 SAST 扫描
  4. 选择页面左侧的类别列表中的 Security使用 Bluemix Static Analyzer 对 Java 应用程序运行 SAST 扫描
  5. 单击 Static Analyzer使用 Bluemix Static Analyzer 对 Java 应用程序运行 SAST 扫描
  6. 选择一个 App(或 Leave unbound),为服务提供一个名称,然后单击 USE使用 Bluemix Static Analyzer 对 Java 应用程序运行 SAST 扫描

成功创建服务后,您会转到一个显示了欢迎消息的页面:

使用 Bluemix Static Analyzer 对 Java 应用程序运行 SAST 扫描

第 2 步. 下载 Static Analyzer 客户端实用程序并生成一个 IRX 文件

 

现在您的服务已创建,您可在想要该服务扫描的本地系统上生成一个 IRX 文件。IRX 文件包含您应用程序的程序逻辑中的数据流的一种中间表示。Static Analyzer 分析此中间表示来查找您应用程序中的潜在安全漏洞。

  1. 在欢迎屏幕上,从列表中选择您的平台并单击 DOWNLOAD
  2. 将 .zip 文件解压到您的本地系统。
  3. 以 Windows 管理员身份运行 install-plugins 脚本。提示安装 Eclipse 插件时,回答 no。在提示安装 Maven 插件时输入 yes使用 Bluemix Static Analyzer 对 Java 应用程序运行 SAST 扫描
  4. 使用本教程中的获取代码按钮下载 JavaSample 应用程序。将下载的 .zip 文件解压到您的本地文件系统。在命令提示符上,更改到 AltoroJMaven 目录并执行下面这条命令:
    mvn package com.ibm.appscan:appscan-maven-plugin:prepare

结果会在项目的目标目录中生成一个 IRX 文件。下面是成功生成 IRX 文件后的 Maven 输出的示例。

使用 Bluemix Static Analyzer 对 Java 应用程序运行 SAST 扫描

点击查看大图

第 3 步. 上传生成的 IRX 文件以供分析

 
  1. 在 Bluemix 中,单击 Got it!I am ready to scan!
  2. 将生成的 IRX 文件拖放到 Bluemix 服务上。 使用 Bluemix Static Analyzer 对 Java 应用程序运行 SAST 扫描
  3. 单击 SCAN

第 4 步. 查看结果

 

分析完成时,单击 VIEW REPORT 在浏览器中打开结果。

使用 Bluemix Static Analyzer 对 Java 应用程序运行 SAST 扫描

点击查看大图

显示的结果应类似于下面的示例。向下滚动到 Executive Summary 部分中列出的 Issue Types,以查看找到的漏洞类型。单击列表中的一个问题类型,会获得有关发现的详细信息,包括问题的严重性,在源代码中发现问题的位置,以及感染后的数据在应用程序中的流动轨迹。

使用 Bluemix Static Analyzer 对 Java 应用程序运行 SAST 扫描

点击查看大图

结束语

 

Bluemix 上的 Static Analyzer 服务提供了一种对应用程序运行 SAST 扫描的简单方式,以查找您源代码中的漏洞。与智能发现分析 (IFA) 技术(该技术可确保仅报告高置信度的、可操作的发现)相结合,用户可在软件开发生命周期中尽早找到和解决问题,从而节省时间和金钱。

进一步探索此服务的特性,您可能希望试验其他 IRX 生成客户端(Eclipse 插件和命令行接口),使用 Bluemix 上的 Static Analyzer 服务对您自己的应用程序运行 SAST 扫描。

Static Analyzer:帮助您在 Java 应用程序的开发阶段尽早查找和修复安全漏洞。


相关主题:AppScanApache Maven


    
正文到此结束
Loading...