就是資安

前言

FindBugs 同樣是用來檢測 Java 程式的工具，其檢測的對象是 Byte Code (class 或是 jar 檔)。儘管如此，FindBugs 依舊是屬於靜態分析的方式。FindBugs 如其名，主要是利用 Bug Patterns 的概念，找尋出程式中有問題 (Bugs) 的程式碼 。在其官方的網站中提到 Bug Patterns 的產生可能有下列因素：

前言

PMD 是來執行 Java 程式檢測的工具，檢測的對象是原始程式碼。雖然 PMD 看起來像是一個縮寫字，但是作者表示當初採用這個字純粹只是因為這幾個單字念起來很順口。根據網站上面的介紹， PMD 可以找出下列問題：

這幾年應用程式(尤其是網站應用程式，Web Application)的安全問題受到各方重視，一些新的、舊的概念，只要跟此議題有所關聯都因此而浮上檯面。包含SSDLC/SDL、WAF、Secure Coding、Application Security Scanner等在內的各式各樣工具或規範，試著從不同的面向去解決程式安全的問題。

Gartner 於今年年初出了一篇有關靜態程式安全掃描的市場分析，分析對象為目前市場上主要的玩家。但是這些產品大多所費不貲(除了整在 IDE 中的形式，可能會有免費使用的陽春功能)，而且甚至很多產品在台灣還沒有直接取得的管道。所以我們今天要介紹一些免費的工具，這些工具的共通點就是提供靜態應用程式檢測的功能，而且以 Java 程式語言做為目標。除了可以當作獨立的工具使用外，有些工具還可以透過外掛的方式整合至 IDE (像是 Eclipse)，使用上更加方便。除此之外，各個工具之間可說是具有相當的差異性。檢測的對象可能是原始程式碼，也有可能是 Byte Code。而著重的面向也不一樣，可能是原始程式碼的不良結構，也可能是針對程式不合常理的錯誤，又或者是針對不好的寫作方式。這些問題都跟軟體的品質有關，而品質當然也包含了安全的問題。