工具地址
https://github.com/momosecurity/momo-code-sec-inspector-java
安装
1、确认IDE版本:Intellij IDEA ( Community / Ultimate ) >= 2018.3
2、IDEA插件市场搜索"immomo"安装。
使用方式
被动:装完愉快的打代码,一边它会提醒你哪里有安全风险(支持的漏洞检查规则内的)
主动:主动触发项目代码扫描,使用该安全漏洞检查规则
主动扫描步骤
Analyze→Inspect Code
Inspection profile→...
确认已勾选momo插件安全规则,点击OK按钮开始扫描
扫描结果
注意事项
1、被扫描代码的版本请确认为最新版本
2、耗时:多个Java项目仅耗时几分钟,耗时较少,不需要担心耗时较长影响
3、扫描目录可支持包含多项目的父目录
4、需结合代码实际作用评估漏洞解决优先级,可能存在误报
5、扫描时可选择过滤测试代码,减少误报
6、插件仅部分规则支持一键修复
评论区