Есть ли плагины IDE для сканирования во время кодирования?

Question

Доступны такие инструменты, как Fortify, которые можно интегрировать с IDE для сканирования исходных кодов на наличие уязвимостей в безопасности. Но я ожидаю, что это плагин для IDE, такой как eclipse, который должен проверять уязвимости при наборе кода. (Вероятно, в случае Java-программы для каждой точки с запятой (;) она должна проверять уязвимость). Было бы замечательно, если бы инструмент рекомендовал исправить на ходу. Так что разработчик может исправить уязвимости как таковые, исправляя проблемы компиляции в Eclipse. Это действительно сильно сократило бы время разработчиков по сравнению с полным сканированием кода, проверкой уязвимостей, их исправлением и повторным сканированием всей базы кода.

Есть ли на рынке уже такой продукт? Если нет, то возможно ли такое разработать?

Answer 1

Cigital.com У них есть плагин, который работает в режиме проверки орфографии. По мере ввода он высветит код уязвимости. Например, SQL-инъекции, XSS и т. Д. Он работает очень хорошо и не требует ресурсов вашей машины, как другие плагины.

Answer 2

FindBugs возможно заставить работать аналогичным образом, возможно, я настроил его запуск каждый раз, когда компилирую новый файл, и он предупреждает о некоторых интересных потенциальных ошибках. Единственный известный мне плагин, который запускается при вводе, - Checkstyle , так что, может быть, есть подобный плагин, который проверяет уязвимости безопасности?

Answer 3

Вы также можете проверить Унцию Labs и Coverity ...