陌陌安全本次开源的Java静态代码安全审计插件,侧重于在编码过程中发现项目潜在的安全风险,并提供一键修复能力。
此插件作为Java项目静态代码安全审计工具,侧重于在编码过程中发现项目潜在的安全风险,并提供一键修复能力。
此插件利用IDEA原生Inspection机制检查项目,和Intellij IDEA 开发工具集成,自动检查当前活跃窗口的活跃文件,检查速度快,占用资源少。插件提供的规则名称均以"Momo"开头。在IDEA插件市场搜索"immomo"安装。
支持多项式拼接型SQL注入漏洞,占位符拼接型SQL注入漏洞,Mybatis注解SQL注入漏洞,Mybatis XML SQL注入漏洞,Fastjson反序列化风险,Jackson反序列化风险等等。
MOMO Code Sec Inspector
从SDL到DevSecOps,软件研发过程一直在追求最大限度地提高软件交付的质量和速度,而安全“左移”在其中显得尤为重要。尽早进行安全检测不仅有利 于降低安全风险,更能够降低漏洞修复成本。
陌陌安全在实践中发现,绝大部分Web安全漏洞源于编码,更应止于编码。因此,安全组针对公司内部广泛使用 Intellij IDEA 开发工具自主研发静态代码安全审计插件(MOMO Code Sec Inspector),以此辅助研发同学在编码过程中发现潜在的安全风险,并为其提供漏洞一键修复能力。
效果演示
演示一:XXE漏洞发现与一键修复
演示二:Mybatis XML Mapper SQL注入漏洞发现与一键修复
安装试用
本插件已登录Jetbrains插件市场,在Intellij IDEA插件市场中搜索 immomo并安装即可。
插件规则
开源版本目前包含以下规则。
开源地址
https://github.com/momosecurity/momo-code-sec-inspector-java
注意:本文归作者所有,未经作者允许,不得转载
