0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

怎样使用Kiuwan保护Spring Boot应用程序呢?

哲想软件 来源:哲想软件 2023-03-16 09:10 次阅读

SpringBoot 提供了快速轻松地构建基于Spring 的应用程序所需的工具、功能和依赖项。因此,它已成为创建Java Web 应用程序和微服务的热门选择。与其他服务器端技术一样,保护 Spring Boot应用程序免受可能在生产中被利用的安全漏洞的影响至关重要。Kiuwan平台帮助我们在开发生命周期的早期识别和修复问题,远在发布到生产环境之前,这个支持角博客将向您展示如何操作。

Kiuwan通过在开发环境、生成服务器或CI/CD 管道中运行Kiuwan 本地分析器(KLA)来启动。当指向源目录或存储库时,KLA会扫描并分析其中的所有源代码和配置文件。SpringBoot 项目将主要包含Java 源文件,但也可能有HTML、JavaScript或其他文件类型。总而言之,Kiuwan扫描了30多种语言的安全漏洞。

使用KLA 扫描后,结果将组织并显示在Kiuwan 门户中,以及修复每个漏洞所需的所有详细信息。在这个SpringBoot应用程序中,Kiuwan发现了服务器端请求伪造(SSRF),跨站点请求伪造(CSRF)和其他几个安全漏洞:

09a5a55c-c383-11ed-bfe3-dac502259ad0.png

虽然Kiuwan SAST 专注于我们应用程序源代码中的漏洞,但Kiuwan 的软件组合分析(SCA)可识别来自第三方依赖项的威胁。第三方依赖项可能会引入许可证风险、已知的安全CVE 和CWE,或运行过期软件包而导致的过时问题:

09c67516-c383-11ed-bfe3-dac502259ad0.png

在我们的Spring Boot 应用程序中发现这些漏洞后,Kiuwan的行动计划帮助我们在现有的开发生命周期中组织这项工作。例如,如果冲刺(sprint)中只有五个小时用于应用安全,Kiuwan将确定我们可以在该时间范围内修复的最高优先级问题:

09ed38f4-c383-11ed-bfe3-dac502259ad0.png

总体而言,Kiuwan使我们能够在将 SpringBoot应用程序发布到生产环境之前识别、确定优先级和修复安全问题。通过将安全性左移,我们可以节省时间、精力和精力,并不断提高应用程序的安全性,作为任何现有开发过程的一部分。






审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    8294

    浏览量

    83187
  • JAVA
    +关注

    关注

    19

    文章

    2911

    浏览量

    103252
  • SCA
    SCA
    +关注

    关注

    1

    文章

    36

    浏览量

    11906

原文标题:使用 Kiuwan保护Spring Boot 应用程序

文章出处:【微信号:哲想软件,微信公众号:哲想软件】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    如何在Spring Boot应用程序中整合ZXing库

    在数字化时代,二维码已经成为了信息交流的一种常见方式。它们被广泛用于各种应用,从产品标签到活动传单,以及电子支付。本文将向您展示如何在Spring Boot应用程序中整合ZXing库,以创建和解析QR码。
    的头像 发表于 12-03 17:39 778次阅读

    springboot自动配置的原理介绍

    Spring Boot是一个开源的Java框架,用于构建独立的、基于微服务的应用程序。它的最大特点是自动配置,能够根据应用程序的依赖库和配置文件,智能地自动配置
    的头像 发表于 12-03 15:12 566次阅读

    Spring Boot 3.2支持虚拟线程和原生镜像

    Spring Boot 3.2 前几日发布,让我们用 Java 21、GraalVM 和虚拟线程来尝试一下。
    的头像 发表于 11-30 16:22 416次阅读

    springboot框架介绍

    Spring Boot 是一个开源的、用于开发微服务的框架,它基于 Java 平台。它提供了一种快速、敏捷的方式来构建独立的、可部署的、生产级别的 Spring 应用程序
    的头像 发表于 11-22 15:53 793次阅读

    spring分布式框架有哪些

    Spring分布式框架。 Spring Cloud Spring Cloud是基于Spring Boot的分布式开发工具包。它提供了多个子
    的头像 发表于 11-16 10:58 445次阅读

    Spring布能用来搭建基础架构吗

    Spring Boot 是一个用于简化 Spring 应用程序开发的框架,它利用 Spring 框架的强大功能,使得基础架构的搭建变得更加简
    的头像 发表于 11-16 10:56 248次阅读

    Spring Boot 的设计目标

    Spring 框架复杂的XML配置。使用 Spring Boot 可以很容易创建一个独立运行的、基于 Spring 的生产级应用程序,而且
    的头像 发表于 10-13 14:56 383次阅读
    <b class='flag-5'>Spring</b> <b class='flag-5'>Boot</b> 的设计目标

    Spring Boot的启动原理

    可能很多初学者会比较困惑,Spring Boot 是如何做到将应用代码和所有的依赖打包成一个独立的 Jar 包,因为传统的 Java 项目打包成 Jar 包之后,需要通过 -classpath 属性
    的头像 发表于 10-13 11:44 441次阅读
    <b class='flag-5'>Spring</b> <b class='flag-5'>Boot</b>的启动原理

    Spring Boot启动 Eureka流程

    在上篇中已经说过了 Eureka-Server 本质上是一个 web 应用的项目,今天就来看看 Spring Boot 是怎么启动 Eureka 的。 Spring Boot 启动 E
    的头像 发表于 10-10 11:40 479次阅读
    <b class='flag-5'>Spring</b> <b class='flag-5'>Boot</b>启动 Eureka流程

    Spring Boot Actuator快速入门

    使用的框架基本上都要升级到 2.x了吧。 什么是 Actuator ? 从本质上讲, Spring Boot Actuator 为我们的应用程序带来了生产就绪的功能。监控我们的应用程序
    的头像 发表于 10-09 17:11 405次阅读

    Spring Boot时配置JSON序列化选项的几种方法

    Spring Boot Web 项目中,当使用JSON格式接收数据和返回数据的时候,Spring Boot 默认使用一个ObjectMapper实例来序列化响应和反序列化请求。 在本
    的头像 发表于 10-09 10:26 1326次阅读

    Spring Boot配置加载相关知识

    有: --server.port:指定应用程序的端口号。 --spring.profiles.active:设置应用程序使用的配置文件中的环境配置。 --spring.config.a
    的头像 发表于 10-07 15:47 296次阅读

    Spring Boot如何实现异步任务

    Spring Boot 提供了多种方式来实现异步任务,这里介绍三种主要实现方式。 1、基于注解 @Async @Async 注解是 Spring 提供的一种轻量级异步方法实现方式,它可以标记在方法
    的头像 发表于 09-30 10:32 563次阅读

    Spring Boot Starter需要些什么

    ,写一个pulsar-spring-boot-starter是非常有必要的,在此之前,我们先看看一个starter需要些什么。 Spring Boot Starter spring-boot
    的头像 发表于 09-25 11:35 518次阅读
    <b class='flag-5'>Spring</b> <b class='flag-5'>Boot</b> Starter需要些什么

    Spring Boot如何优雅实现数据加密存储、模糊匹配和脱敏

    近来我们都在围绕着使用Spring Boot开发业务系统时如何保证数据安全性这个主题展开总结,当下大部分的B/S架构的系统也都是基于Spring Boot + SpringMVC三层架
    的头像 发表于 06-19 14:42 1204次阅读
    <b class='flag-5'>Spring</b> <b class='flag-5'>Boot</b>如何优雅实现数据加密存储、模糊匹配和脱敏