漏洞扫描
- 【商业】Fortify SCA
- 【半开源】CodeQL
组件版本扫描
IDEA插件
- momo-code-sec-inspector-java:IDEA静态代码安全审计及漏洞一键修复插件
- OpenSCA Xcheck:Intellij平台的OpenSCA Xcheck插件可以快速检测和分析代码质量问题,统计和显示有风险的组件和漏洞,并提出修复建议。
- Snyk Security:能在 IDE 中直接扫描项目的依赖关系,查找存在安全漏洞的依赖项。它会将项目的依赖与 Snyk 自己的漏洞数据库进行对比,检测出诸如存在已知漏洞的第三方库等安全问题,并提供升级建议来修复这些漏洞。(需要token但我没认证成功过)
反编译jar
批量反编译jar
如果一个jar中还包含其他jar,那么反编译的时候不会去反编译其内部的jar;这种情况下如果想反编译内部的jar,建议先解压再批量反编译。
代码搜索技巧
- 在IDEA中通过全局替换
Shift + Command + R
进行搜索(连续按2下shift
搜索的结果可能不全)