Я использую PMD и Findbug для своего приложения, но fortify удалось обнаружить некоторые уязвимости безопасности в моем приложении. Мне интересно, есть ли другое программное обеспечение с открытым исходным кодом, которое выполняет ту же работу, что и Fortify?Любое программное обеспечение с открытым исходным кодом, похожее на Fortify?
Sonar очень похож на Fortify. Однако в нем больше внимания уделяется качеству/метрикам кода, а не безопасности. В информационном отношении есть некоторое перекрытие. Кроме того, есть плагины для Sonar, такие как Security Rules, которые позволяют добавлять дополнительные показатели безопасности.
Если вы сосредоточены на безопасности, вы можете воспользоваться дополнительными правилами безопасности. Find Security Bugs - это набор детекторов для FindBugs.
Отказ от ответственности: Я автор инструмента упомянуть
Вот неполный перечень статических анализаторов, поддерживаемых NIST: http://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html
+1 Ограничение ответственности! – user961954
Привет @ h3xStream можно использовать свой плагин в файле build.xml? – Jigar
Я не использовал его сам. Но вот документ: http://findbugs.sourceforge.net/manual/anttask.html – h3xStream