¿Cómo usar SpotBugs en Eclipse para hacer una auditoría de seguridad?

SpotBugs es un programa para detectar errores en código Java usando análisis estático. Es un programad open-source con licencia LGPL. Y puede analizar versiones de Java desde la 1.0 a la 1.9.

Spotbugs chequea más de 400 tipos de bugs: https://spotbugs.readthedocs.io/en/latest/bugDescriptions.html

Spotbugs puede usarle en modo standalone o bien integrado con nuestro IDE a través del plugin de Eclipse o bien integrado con Maven o Gradle o con SonarQube.

Spotbugs puede extenderse vía plugins, y el que nos interesa en este caso es find-sec-bugs que permite hacer auditorías de seguridad de aplicaciones Java y es capaz de detectar hasta 135 tipos de vulnerabilidades incluyendo OWASP Top 10.


AL funcionar como un plugin de Spotbugs tiene integraciones con Eclipse, Maven, SonarQube:

Para instalarlo en Eclipse:

  • Desde Eclipse Marketplace instalaré SpotBugs Plugin:

  • Iré a la configuración de SpotBugs en Eclipse en Windows>Preferences>Java>Spotbugs. Dentro seleccionaré el plugin descargado en el paso anterior:

  • Dentro de la configuración de SpotBugs configuraré el tipo de Bugs que quiero que detecte SpotBugs, como quiero hacer una auditoría de seguridad.

Y ya puedo lanzar SpotBugs seleccionando el proyecto y la opción Find Bugs:

En la pestaña Bug Explorer me aparecen los bugs categorizados por gravedad:

Y pinchando en cada uno me remarcará el problema:

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s