工具地址 https://github.com/momosecurity/momo-code-sec-inspector-java 安装 1、确认IDE版本:Intellij IDEA ( Community / Ultimate ) >= 2018.3 2、IDEA插件市场搜索"immomo"安装。 使用方式 被动:装完愉快的打代码,一边它会提醒你哪里有安全风险(支持的漏洞检查规则内的) 主动:主动触发项目代码扫描,使用该安全漏洞检查规则 主动扫描步骤 Analyze→Inspect Code
Inspection profile→...
确认已勾选momo插件安全规则,点击OK按钮开始扫描
扫描结果
注意事项 1、被扫描代码的版本请确认为最新版本 2、耗时:多个Java项目仅耗时几分钟,耗时较少,不需要担心耗时较长影响 3、扫描目录可支持包含多项目的父目录 4、需结合代码实际作用评估漏洞解决优先级,可能存在误报 5、扫描时可选择过滤测试代码,减少误报 6、插件仅部分规则支持一键修复