本插件作为Java项目静态代码安全审计工具,侧重于在编码过程中发现项目潜在的安全风险,并提供一键修复能力。 本插件利用IDEA原生Inspection机制检查项目,自动检查当前活跃窗口的活跃文件,检查速度快,占用资源少。 插件提供的规则名称均以"Momo"开头。 版本支持Intellij IDEA ( Community / Ultimate ) >= 2017.3 IDEA 香是香,可能你会说用它要收费,其实它也有开源的社区版本,收费的专业版也很容易申请到激活码,关注公众号Java技术栈,回复:IDEA,可以阅读我分享过的获取正版 IDEA 激活码的教程,很多粉丝都反馈说轻松得到了,感兴趣的都可以去申请,不能太容易了。 安装使用IDEA插件市场搜索"immomo"安装。 效果展示演示一:XXE漏洞发现与一键修复 演示二:Mybatis XML Mapper SQL注入漏洞发现与一键修复 插件规则
项目结构src ├── main │ ├── java │ │ └── com │ │ └── immomo │ │ └── momosec │ │ ├── aspect │ │ ├── entity │ │ ├── fix │ │ ├── lang │ │ │ ├── java │ │ │ │ ├── rule │ │ │ │ │ └── momosecurity │ │ │ │ │ └── {InspectionName}.java │ │ │ │ └── utils │ │ │ └── xml │ │ │ └── rule │ │ │ └── momosecurity │ │ │ └── {InspectionName}.java │ │ └── utils │ └── resources │ ├── META-INF │ │ ├── description.html │ │ ├── pluginIcon.svg │ │ └── plugin.xml │ └── inspectionDescriptions │ └── {InspectionName}.html └── test ├── java │ └── com │ └── immomo │ └── momosec │ └── lang │ ├── java │ │ ├── fix │ │ └── rule │ │ └── momosecurity │ │ └── {InspectionName}Test.java │ └── xml │ └── rule │ └── momosecurity │ └── {InspectionName}Test.java ├── resources └── testData └── lang ├── java │ └── rule │ └── momosecurity │ └── {InspectionName} │ └──... └── xml └── rule └── momosecurity └── {InspectionName} └──... 脚手架# 新增检查规则 > python script/addInspection.py # 删除检查规则 > python script/deleteInspection.py 单元测试> ./gradlew :test 预发布打包
预发布情况下,插件上报地址写于 发布打包
正式发布情况下,插件上报地址写于 注意事项
以版本号命名的分支,原则上代表支持的idea版本下限。 如branch为2018.3代表当前分支支持版本范围是>=2018.3 (或说from 183.* to *)。 插件具体支持idea版本范围见
原则上,插件版本号以支持的idea版本下限为大版本编号。 如插件当前版本为 需要注意的是,因IDEA更新机制问题,插件新版本号只能向上增长。 具体见
发布到插件市场的版本不支持漏洞上报功能。 发布到插件市场的版本不支持白名单签名下发功能。 |
|
来自: python_lover > 《待分类》