代码安全扫描

1. maven组件安全扫描

maven组件安全报告一般内容如下： alt text 推荐使用悬镜安全的工具产品OpenSCA，用于识别和清点开源软件的组件及其构成和依赖关系，并检测是否存在已知的安全和功能漏洞。

1.1 安装OpenSCA查看

在IDEA中依次点击“File|Settings|Plugins|Marketplace”，在搜索框中输入“OpenSCA Xcheck”，点击“Install” alt text

1.2 配置OpenSCA插件

在https://opensca.xmirror.cn注册账号后登录账号, 回到IDEA中点击Settings|Other Settings|OpenSCA_Configurable，点击Quick Authorization:
alt text 此时会自动打开浏览器页面，点击授权：
在IDEA弹出框中点击OK即可：

1.3 使用插件

点击View|Tools Windows|Open SCA，打开OpenSCA面板：
alt text 点击OpenSCA面板里左侧工具栏中的Run按钮，可对当前项目进行代码评估，评估结果按照项目模块树进行展示：

2. 代码漏洞扫描

代码漏洞安全报告一般内容如下： alt text 推荐使用SpotBugs，SpotBugs是一款静态代码分析工具，专注于检测Java代码中的潜在缺陷、bug和安全漏洞（如空指针异常、资源未释放、不安全的类型转换等）。

2.1 安装SpotBugs插件

在IDEA中依次点击“File|Settings|Plugins|Marketplace”，在搜索框中输入“SpotBugs”，点击“Install” alt text 在安装后重启idea即可。

2.2 配置SpotBugs插件

在IDEA中点击Settings|Tools|SpotBugs，点击+：
alt text 选择第二个Add Find Security Bugs选项，自动会加载内置的安全插件：
在Report选项卡中，一般设置代码可信任度为Medium，如果想要严格扫描可以设置Low，可以取消和安全无关的代码扫描，分析力度可以选择最大：