安全扫描程序:静态分析工具
静态代码分析是对源代码或生成的二进制文件中执行的检查,以检测可能危及应用程序的错误和漏洞,它们不执行应用程序。GeneXus客户端添加了安全扫描程序,旨在提高使用GeneXus低代码平台开发的应用程序的安全性。
安全扫描程序用于审查GeneXus代码,而不是GeneXus生成的应用代码。
该工具寻找先验已知的功能,如果开发人员未正确使用它们,可能会在应用程序中引入漏洞。像任何静态分析工具一样,它需要后验分析来消除误报。安全扫描程序可以通过两种方式执行:直接在IDE中执行或者通过MSBuild执行(MSBuild可以包含在开发pipeline中)。
在高级配置中,开发人员可以定义扫描规则,设置检测对象(Transaction,WebPanel,用户控件,接口等),设置检验白名单,提高检测效率。
除此外,用户可以通过安全扫描工具扫描 OWASP Top 10 安全风险漏洞。