Есть ли какой-нибудь инструмент SAST для кода Workfusion?

Question

В настоящее время я участвую в проекте по внедрению проверок кода безопасности для ботов Workfusion. Workfusion может обрабатывать смесь кода Java и Groovy, встроенного в файлы XML или автономный код.

Моя команда пытается оценить, возможно ли использовать для этого какой-либо бесплатный инструмент для защиты статических приложений с открытым исходным кодом. В настоящее время я изучаю возможность создания плагина для Spotbugs.

Мне удалось успешно запустить обзоры с помощью Java-кода + Maven с плагинами Spotbugs и FindSecBugs, но я не выяснил, как расширить Spotbugs для анализа XML-файлов, извлечения встроенных скриптов Groovy и их анализа.

Знаете ли вы какой-либо инструмент защиты статических приложений для Workfusion или вы могли бы предложить какой-либо подход для расширения любого другого инструмента SAST?

Answer 1

Основное требование для работы Find Security Bugs - это возможность компилировать код.Если у вас есть доступ к файлам классов, FindSecurityBugs должен работать.Если код оценивается во время выполнения, вам нужно скомпилировать фрагмент, который является непростой задачей, если скрипт имеет доступ к специальному контексту с инициализированными объектами.