Bug Bye Bye

静的/動的解析ツールを主軸に、バグ取りの効率化を追求するブログ

113種類のセキュリティ脆弱性を検知できるOSS静的解析ツール「Find Security Bugs」

f:id:redxxiii:20170711215518p:plain

Java界隈で著名なOSS静的解析ツールといえば「FindBugs」ですが、セキュリティ脆弱性の検知に特化した「Find Security Bugs」というツールが存在しています。今から5年前の2012年にV1.0.0がリリースされて今も更新が続いているのですが、ググッてもあまり日本語サイトが検索にかかってこないくらい、日本では流行っていないんでしょうか。

ここでは、Find Security Bugsの概要を紹介するだけに留め、詳しい機能や使い方は別の記事で説明したいと思います。

 113のセキュリティ脆弱性タイプを検知できる

OSSの静的解析ツールでセキュリティ脆弱性を検知できるものはそこまで多くなく、また検知できるセキュリティ脆弱性タイプも数が限られます。Find Security Bugsでは、113ものタイプを検知するルールセットを持っており、検知可能なタイプ数としては多い方かと思います。

Bug Patterns - Find Security Bugs

メジャーなIDEと連携が可能

Eclipseはさることながら、IntelliJNetBeansAndroid Studioといった著名なIDEと連携するためのプラグインが用意されています。また、コマンドラインではAntやMavenと連携することも可能です。

CI連携も可能

IDEだけでなく、今をときめくCIツールとの連携が可能です。公式サイトではJenkinsとSonarQubeを明記しています。

 

カタログスペックを見る限りでは申し分ないですが、気になるのはやはり検知性能。簡単なサンプルプログラムを作って解析した限りではちゃんと検知することができるため、一定の効果があるものと考えています。

今後、検知性能も含めていろいろと検証してみたいと思います。

Home - Find Security Bugs