Я использую PMD и Findbug для своего приложения, но fortify удалось обнаружить некоторые уязвимости безопасности в моем приложении. Мне интересно, есть ли другое программное обеспечение с открытым исходным кодом, которое выполняет ту же работу, что и Fortify?Любое программное обеспечение с открытым исходным кодом, похожее на Fortify?
7
A
ответ
1
Sonar очень похож на Fortify. Однако в нем больше внимания уделяется качеству/метрикам кода, а не безопасности. В информационном отношении есть некоторое перекрытие. Кроме того, есть плагины для Sonar, такие как Security Rules, которые позволяют добавлять дополнительные показатели безопасности.
6
Если вы сосредоточены на безопасности, вы можете воспользоваться дополнительными правилами безопасности. Find Security Bugs - это набор детекторов для FindBugs.
Отказ от ответственности: Я автор инструмента упомянуть
Вот неполный перечень статических анализаторов, поддерживаемых NIST: http://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html
+1 Ограничение ответственности! – user961954
Привет @ h3xStream можно использовать свой плагин в файле build.xml? – Jigar
Я не использовал его сам. Но вот документ: http://findbugs.sourceforge.net/manual/anttask.html – h3xStream