SpringBoot 提供了快速輕松地構(gòu)建基于Spring 的應(yīng)用程序所需的工具、功能和依賴項(xiàng)。因此，它已成為創(chuàng)建Java Web 應(yīng)用程序和微服務(wù)的熱門選擇。與其他服務(wù)器端技術(shù)一樣，保護(hù) Spring Boot應(yīng)用程序免受可能在生產(chǎn)中被利用的安全漏洞的影響至關(guān)重要。Kiuwan平臺(tái)幫助我們?cè)陂_(kāi)發(fā)生命周期的早期識(shí)別和修復(fù)問(wèn)題，遠(yuǎn)在發(fā)布到生產(chǎn)環(huán)境之前，這個(gè)支持角博客將向您展示如何操作。

Kiuwan通過(guò)在開(kāi)發(fā)環(huán)境、生成服務(wù)器或CI/CD 管道中運(yùn)行Kiuwan 本地分析器（KLA）來(lái)啟動(dòng)。當(dāng)指向源目錄或存儲(chǔ)庫(kù)時(shí)，KLA會(huì)掃描并分析其中的所有源代碼和配置文件。SpringBoot 項(xiàng)目將主要包含Java 源文件，但也可能有HTML、JavaScript或其他文件類型?？偠灾?，Kiuwan掃描了30多種語(yǔ)言的安全漏洞。

使用KLA 掃描后，結(jié)果將組織并顯示在Kiuwan 門戶中，以及修復(fù)每個(gè)漏洞所需的所有詳細(xì)信息。在這個(gè)SpringBoot應(yīng)用程序中，Kiuwan發(fā)現(xiàn)了服務(wù)器端請(qǐng)求偽造（SSRF），跨站點(diǎn)請(qǐng)求偽造（CSRF）和其他幾個(gè)安全漏洞：

雖然Kiuwan SAST 專注于我們應(yīng)用程序源代碼中的漏洞，但Kiuwan 的軟件組合分析（SCA）可識(shí)別來(lái)自第三方依賴項(xiàng)的威脅。第三方依賴項(xiàng)可能會(huì)引入許可證風(fēng)險(xiǎn)、已知的安全CVE 和CWE，或運(yùn)行過(guò)期軟件包而導(dǎo)致的過(guò)時(shí)問(wèn)題：

在我們的Spring Boot 應(yīng)用程序中發(fā)現(xiàn)這些漏洞后，Kiuwan的行動(dòng)計(jì)劃幫助我們?cè)诂F(xiàn)有的開(kāi)發(fā)生命周期中組織這項(xiàng)工作。例如，如果沖刺（sprint）中只有五個(gè)小時(shí)用于應(yīng)用安全，Kiuwan將確定我們可以在該時(shí)間范圍內(nèi)修復(fù)的最高優(yōu)先級(jí)問(wèn)題：

總體而言，Kiuwan使我們能夠在將 SpringBoot應(yīng)用程序發(fā)布到生產(chǎn)環(huán)境之前識(shí)別、確定優(yōu)先級(jí)和修復(fù)安全問(wèn)題。通過(guò)將安全性左移，我們可以節(jié)省時(shí)間、精力和精力，并不斷提高應(yīng)用程序的安全性，作為任何現(xiàn)有開(kāi)發(fā)過(guò)程的一部分。

審核編輯：劉清