Spotbugs+findBugs辅助挖掘漏洞
date
Feb 9, 2022
slug
spotbugs-findbugs-dig-bugs
status
Published
tags
Java安全
安全研究
summary
第一次使用这个工具记录一下
type
Post
如何使用?力哥说不需要使用IDEA里面的插件,直接启动bin目录下的二进制文件
新建一个检测项目,项目名字随意起,然后把相关的jar包添加到需要分析的这个框框中
分析出来左下角就是可能会出现漏洞的点了,以及文件的位置,包括source和sink点,可能分析的时候会出现一些列的bug,说包找不到,点击OK还是可以分析的
后面我升级了IDEA 最后能使用上插件了,还是很好用的,但是也只是针对存在源码的情况,好像新打开一个项目都得重新配一下下面的内容
然后需要对这个插件进行相关设置,找到全局设置
下载官网上的插件,然后导入IDEA,这里可以选择从磁盘里面导入jar,也可以在线导入
直接线上导入好像是这样的,点击这个选项即可
然后选择模块或者文件右键进行analyse就可以
可以在报告里面选择需要汇报的内容:
一般挖漏洞我们只选择安全相关的就好,太多分析结果容易影响分析
