Sonarqube中Java规则与CWE与OWASP的映射关系

于 2024-03-16 17:11:42 发布
阅读量483 收藏 8
点赞数 9
文章标签: 供应链安全 静态分析 Sonarqube
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/manok/article/details/136765881
版权

 很多企业使用Sonarqube社区版作为静态分析工具,在开发阶段检测代码中的缺陷或安全漏洞。但是如果是作为SAST工具厂商,集成该引擎,则需要把Sonarqube中的检测规则与其它引擎的规则进行整合,例如下图,把Sonarqube中的一些规则与CWE标准编号对齐,对齐之后,再与OWASP TOP 2021对齐。这样不管使用了几个引擎,保证检测集只有一个owasp top 10 2021集合。其它的开发语言的各种规则也是类似,例如与GB/T 34944对齐,则需要逐一进行梳理。为了梳理,当初我们付出了很多事情,带着小伙伴梳理规则,矫正翻译的规则,调整错误示例和正确示例代码等。

(结束)

manok
关注
  • 9
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
CWE:通病总结
mzhan017的博客
12-16 4917
文章目录网站398686 网站 https://cwe.mitre.org/data/definitions/686.html 398 风格问题,如果一个局部变量,可以放在一个更小的区域,而且满足使用,最好是将作用域缩小。但是需要注意不要搞错。检查工具有点时候,检查有问题。 [STYLE] (cwe=398, variableScope): The scope of the variable ‘left’ can be reduced., The scope of the variable ‘left’ c
sonar阻断级别错误(block)简单汇总
weixin_30846599的博客
10-14 5118
1、代码里面包含PASSWORD、PWD 'PWD' detected in this expression, review this potentially hardcoded credential. 2、父子类或者同一个类有同名的变量名(类方法、类变量、实例方法或者实例变量) Rename method "ENCRYPTMethod" to prevent any mi...
【详细教程】sonarQube的自定义规则开发
冰糖柠檬雪梨茶的博客
08-30 1万+
sonar自定义规则开发,实际上是对sonar的官方JAR包里面的方法进行重写,然后添加自己定义的规则。 sonar提供的XPath 或Java的方式的扩展,有的语言支持的XPath ,有的只能支持Java的,比如Java的语言只支持Java的方式的扩展。具体详见通过语言自定义规则的支持 一,下载官方的示例演示 下载地址:https://github.com/SonarSource/so...
解读OWASP应用安全验证标准ASVS
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-03 1994
OWASP应用安全验证标准,是一份测试应用安全的清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和消费者参考,用于定义、构建、测试和验证安全的应用。当前最新版本是Version 4.0.3, 于2021年10月发布,具体文档可点此下载(访问密码:6277),访问密码6277。ASVS 5.0版本的计划和路线图已经公布,关注博主,后续会持续更新。
基于SonarQube实现代码扫描的团队定制
孟令杰
09-02 828
目前笔者所在的团队接入代码扫描的应用有七十多个,四百万行左右的代码。SonarQube自带的代码规则加上Findbugs的规则,一共有近五百条规则,因此在违规较多的时候,仅严重+阻断两个级别的违规总量可达到四千个。如果加上其他比较轻的等级的违规,千行代码违规可达到80到90之间。那么面对如此多的违规,要是每一个都要求研发去修改,那是不现实的。团队在最初实施代码扫描的时候,总是会收到研发团队反馈说“...
认识CWE和CVE
热门推荐
manok的专栏
05-18 1万+
在源代码安全领域工作的朋友都知道CWE和CVE,但是还是有一些朋友不太了解这两个词语。这里我根据网络资料和经验整理一下,供刚进入该领域人员的参考。 CWE(Common Weakness Enumeration,通用缺陷枚举)。是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。 CVE (Common Vulnerabilities & Exposures,常用漏洞和风险)...
处理Java程序的内存漏洞
02-04
由于,需要准确定位到java虚拟机堆栈的使用情况。由此,我们引用了一个新的测试分析工具jProbe对Was启动时,场景运行的开始点、Action1的结束点以及场景运行的结束点进行内存分析。jProbe的核心思想是通过对比多次...
cwe-tool:基于常见弱点枚举的OWASP CAPSEC数据库的命令行CWE发现工具
05-23
CWE工具一个基于Common Weakness Enumeration的OWASP / CAPSEC数据库的命令行CWE发现工具。安装可通过Node.js工具执行如果您具有Node.js环境,则可以使用cwe-tool调用cwe-tool tool,如下所示: npx cwe-tool [......
CVE-CWE概念与理解介绍
05-20
【CVE-CWE概念与理解介绍】 CVE,全称为Common Vulnerabilities and Exposures,是一个公开的计算机安全漏洞数据库,用于记录已知的各种安全缺陷。它由美国非营利组织MITRE旗下的National Cybersecurity FFRDC运营...
Fortify SCA 代码规则库-支持Java
07-09
这些规则基于已知的安全最佳实践和行业标准,如OWASP(开放网络应用安全项目)和CWE(常见弱点枚举)。 使用Fortify SCA,开发者可以对Java项目进行静态代码扫描,无需运行程序或执行任何特定的输入。扫描过程会...
CWE476
03-15
标题"CWE476"指的是Common Weakness Enumeration (CWE)的第476号漏洞,这是一项关于软件安全的国际标准,用于识别、分类和记录软件的弱点。CWE476通常被称为"Null Pointer Dereference",即空指针解引用。这个...
SonarQube平台web界面功能选项详解
CN_TangZheng的博客
11-02 1854
文章转载自:https://www.cnblogs.com/ioufev/articles/12696498.html 从界面出发,编写Server端SonarQube手册。 首页 说明: 菜单栏 项目:被扫描的项目 问题:被扫描的项目的问题 代码规则:代码检测规则 质量配置:质量配置是在分析时使用的规则集合。可以启用或者禁用某些规则。 质量阈:正常/错误。可以指定一些指标条件时为错误,比如bug数大于某个值时为错误。 项目概况 指标说明:一般将鼠标放在图标上就会显示这个指标的说明 bug
Sonarqube使用简介---SonarSource总览
告白与告别的博客
08-30 1万+
Sonarqube使用简介(1) 提要: SonarSource总览 扫描规则示例 SonarQube简介 SonarLint简介 1.SonarSource总览 SonarSource为代码质量提供了世界一流的解决方案。其开源和商业版本可帮助各种规模的客户管理其应用程序的代码质量,降低风险并最终交付更可靠的软件。 SonarSource提供SonarQube代码管理平台和Sonar...
ssm372高校实验室资源综合管理系统+jsp.zip
08-25
现代经济快节奏发展以及不断完善升级的信息化技术,让传统数据信息的管理升级为软件存储,归纳,集处理数据信息的管理方式。本高校实验室资源综合管理系统就是在这样的大环境下诞生,其可以帮助管理者在短时间内处理完毕庞大的数据信息,使用这种软件工具可以帮助管理人员提高事务处理效率,达到事半功倍的效果。此高校实验室资源综合管理系统利用当下成熟完善的SSM框架,使用跨平台的可开发大型商业网站的Java语言,以及最受欢迎的RDBMS应用软件之一的Mysql数据库进行程序开发.高校实验室资源综合管理系统的开发根据操作人员需要设计的界面简洁美观,在功能模块布局上跟同类型网站保持一致,程序在实现基本要求功能时,也为数据信息面临的安全问题提供了一些实用的解决方案。可以说该程序在帮助管理者高效率地处理工作事务的同时,也实现了数据信息的整体化,规范化与自动化。
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习
08-25
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习 简历是展示个人经历、技能和能力的重要文档,以下是一个常见的简历格式和内容模板,供您参考: 简历格式: 头部信息:包括姓名、联系方式(电话号码、电子邮件等)、地址等个人基本信息。 求职目标(可选):简短描述您的求职意向和目标。 教育背景:列出您的教育经历,包括学校名称、所学专业、就读时间等。 工作经验:按时间顺序列出您的工作经历,包括公司名称、职位、工作时间、工作职责和成就等。 技能和能力:列出您的专业技能、语言能力、计算机技能等与职位相关的能力。 实习经验/项目经验(可选):如果您有相关实习或项目经验,可以列出相关信息。 获奖和荣誉(可选):列出您在学术、工作或其他领域获得的奖项和荣誉。 自我评价(可选):简要描述您的个人特点、能力和职业目标。 兴趣爱好(可选):列出您的兴趣爱好,展示您的多样性和个人素质。 参考人(可选):如果您有可提供推荐的人员,可以在简历提供其联系信息。 简历内容模板: 姓名: 联系方式: 地址: 求职目标: (简短描述您的求职意
ant-design-4.3.5.zip
08-25
ant-design,一套企业级 UI 设计语言和 React 组件库 提炼自企业级后台产品的交互语言和视觉风格 开箱即用的高质量 React 组件
ant-design-4.0.0-alpha.4.zip
08-25
ant-design,一套企业级 UI 设计语言和 React 组件库 提炼自企业级后台产品的交互语言和视觉风格 开箱即用的高质量 React 组件
【导航解算】基于matlab扩展卡尔曼滤波EKF算法(16维)导航解算【含Matlab源码 7358期】.mp4
08-25
Matlab研究室上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
ant-design-4.17.1-alpha.0.zip
最新发布
08-25
ant-design,一套企业级 UI 设计语言和 React 组件库 提炼自企业级后台产品的交互语言和视觉风格 开箱即用的高质量 React 组件
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

manok

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值