是否有适用于Workfusion代码的SAST工具？

Question

目前，我参与了一个为Workfusion机器人实现安全代码审查的项目。Workfusion可以处理嵌入到XML文件或独立代码中的Java和Groovy代码的混合。

我的团队正在尝试评估是否有可能使用任何免费/开源的静态应用程序安全工具。我目前正在探索为Spotbugs创建一个插件的可能性。

我可以用Java code + Maven with Spotbugs和FindSecBugs插件成功地运行评论，但我还没有想出如何扩展Spotbugs来解析XML文件，提取嵌入的Groovy脚本并分析它们。

您是否了解Workfusion的任何静态应用程序安全工具，或者可以建议任何方法来扩展任何其他SAST工具？

Answer 1

Find Security Bugs工作的主要要求是能够编译代码。如果您有权访问类文件，则FindSecurityBugs应该可以工作。如果代码在运行时求值，则需要编译代码片段，如果脚本可以访问包含已初始化对象的特殊上下文，则这不是一项容易的任务。