SpringBoot 提供了快速輕松地構(gòu)建基于Spring 的應(yīng)用程序所需的工具、功能和依賴項。因此，它已成為創(chuàng)建Java Web 應(yīng)用程序和微服務(wù)的熱門選擇。與其他服務(wù)器端技術(shù)一樣，保護 Spring Boot應(yīng)用程序免受可能在生產(chǎn)中被利用的安全漏洞的影響至關(guān)重要。Kiuwan平臺幫助我們在開發(fā)生命周期的早期識別和修復(fù)問題，遠在發(fā)布到生產(chǎn)環(huán)境之前，這個支持角博客將向您展示如何操作。

Kiuwan通過在開發(fā)環(huán)境、生成服務(wù)器或CI/CD 管道中運行Kiuwan 本地分析器（KLA）來啟動。當(dāng)指向源目錄或存儲庫時，KLA會掃描并分析其中的所有源代碼和配置文件。SpringBoot 項目將主要包含Java 源文件，但也可能有HTML、JavaScript或其他文件類型?？偠灾?，Kiuwan掃描了30多種語言的安全漏洞。

使用KLA 掃描后，結(jié)果將組織并顯示在Kiuwan 門戶中，以及修復(fù)每個漏洞所需的所有詳細信息。在這個SpringBoot應(yīng)用程序中，Kiuwan發(fā)現(xiàn)了服務(wù)器端請求偽造（SSRF），跨站點請求偽造（CSRF）和其他幾個安全漏洞：

雖然Kiuwan SAST 專注于我們應(yīng)用程序源代碼中的漏洞，但Kiuwan 的軟件組合分析（SCA）可識別來自第三方依賴項的威脅。第三方依賴項可能會引入許可證風(fēng)險、已知的安全CVE 和CWE，或運行過期軟件包而導(dǎo)致的過時問題：

在我們的Spring Boot 應(yīng)用程序中發(fā)現(xiàn)這些漏洞后，Kiuwan的行動計劃幫助我們在現(xiàn)有的開發(fā)生命周期中組織這項工作。例如，如果沖刺（sprint）中只有五個小時用于應(yīng)用安全，Kiuwan將確定我們可以在該時間范圍內(nèi)修復(fù)的最高優(yōu)先級問題：

總體而言，Kiuwan使我們能夠在將 SpringBoot應(yīng)用程序發(fā)布到生產(chǎn)環(huán)境之前識別、確定優(yōu)先級和修復(fù)安全問題。通過將安全性左移，我們可以節(jié)省時間、精力和精力，并不斷提高應(yīng)用程序的安全性，作為任何現(xiàn)有開發(fā)過程的一部分。

審核編輯：劉清