Как я могу протестировать SonarQube, чтобы увидеть, насколько хорошо он работает для обнаружения проблем безопасности в приложении с весенней загрузкой?

Question

Мы используем SonarQube для поиска уязвимостей безопасности (и других вещей). Я хочу знать, действительно ли SonarQube обнаруживает важные проблемы безопасности. Я начал тестировать проблемы 1: 1, например:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        // disable csrf
        .csrf().disable()
        // use stateless sessions
        .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)

        // Enable CORS
        .and().cors()
        .and().headers().xssProtection().disable()
        .and().headers().contentTypeOptions().disable()
        .and().headers().frameOptions().disable();
}

Затем я бы использовал SonarQube для сканирования своего кода и проверки, помечал ли он те проблемы безопасности, которые я представил. (сейчас меня интересуют только вопросы безопасности)

Проблема в том, что существует так много разных уязвимостей. Я ищу что-то вроде " Магазин соков " или " Черт уязвимого веб-приложения ". Мне нужно веб-приложение (в идеале написанное при загрузке Java Spring), в котором есть множество дыр в безопасности, которые я могу вставить в SonarQube и посмотреть, какие проблемы он перехватывает, а какие нет.

Существует ли такое приложение?

Answer 1

Да, существуют намеренно уязвимые весенние загрузочные приложения. Вы можете проверить это из контраста безопасности. Надеюсь, он удовлетворит ваши потребности в тестировании:

https://github.com/Contrast-Security-OSS/vulnerable-spring-boot-application/

Answer 2

"Намеренно небезопасная веб-программа 8 веб-приложений" также выглядит довольно хорошо:

https://www.cyberpunk.rs/deliberately-insecure-web-application-webgoat-8