怎样使用Kiuwan保护Spring Boot应用程序呢?

描述

SpringBoot 提供了快速轻松地构建基于Spring 的应用程序所需的工具、功能和依赖项。因此,它已成为创建Java Web 应用程序和微服务的热门选择。与其他服务器端技术一样,保护 Spring Boot应用程序免受可能在生产中被利用的安全漏洞的影响至关重要。Kiuwan平台帮助我们在开发生命周期的早期识别和修复问题,远在发布到生产环境之前,这个支持角博客将向您展示如何操作。

 

Kiuwan通过在开发环境、生成服务器或CI/CD 管道中运行Kiuwan 本地分析器(KLA)来启动。当指向源目录或存储库时,KLA会扫描并分析其中的所有源代码和配置文件。SpringBoot 项目将主要包含Java 源文件,但也可能有HTML、JavaScript或其他文件类型。总而言之,Kiuwan扫描了30多种语言的安全漏洞。

使用KLA 扫描后,结果将组织并显示在Kiuwan 门户中,以及修复每个漏洞所需的所有详细信息。在这个SpringBoot应用程序中,Kiuwan发现了服务器端请求伪造(SSRF),跨站点请求伪造(CSRF)和其他几个安全漏洞:

服务器

虽然Kiuwan SAST 专注于我们应用程序源代码中的漏洞,但Kiuwan 的软件组合分析(SCA)可识别来自第三方依赖项的威胁。第三方依赖项可能会引入许可证风险、已知的安全CVE 和CWE,或运行过期软件包而导致的过时问题:

服务器

在我们的Spring Boot 应用程序中发现这些漏洞后,Kiuwan的行动计划帮助我们在现有的开发生命周期中组织这项工作。例如,如果冲刺(sprint)中只有五个小时用于应用安全,Kiuwan将确定我们可以在该时间范围内修复的最高优先级问题:

服务器

总体而言,Kiuwan使我们能够在将 SpringBoot应用程序发布到生产环境之前识别、确定优先级和修复安全问题。通过将安全性左移,我们可以节省时间、精力和精力,并不断提高应用程序的安全性,作为任何现有开发过程的一部分。






审核编辑:刘清

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分