陌陌SAST IDEA插件开源

沃·兹基硕德小贴士

开源小分队分享不停

陌陌安全本次开源的Java静态代码安全审计插件，侧重于在编码过程中发现项目潜在的安全风险，并提供一键修复能力。欢迎各位试用。

MOMO Code Sec Inspector

---

从SDL到DevSecOps，软件研发过程一直在追求最大限度地提高软件交付的质量和速度，而安全“左移”在其中显得尤为重要。尽早进行安全检测不仅有利于降低安全风险，更能够降低漏洞修复成本。

陌陌安全在实践中发现，绝大部分Web安全漏洞源于编码，更应止于编码。因此，安全组针对公司内部广泛使用 Intellij IDEA 开发工具自主研发静态代码安全审计插件（MOMO Code Sec Inspector），以此辅助研发同学在编码过程中发现潜在的安全风险，并为其提供漏洞一键修复能力。

效果演示

---

演示一：XXE漏洞发现与一键修复

演示二：Mybatis XML Mapper SQL注入漏洞发现与一键修复

安装试用

---

本插件已登录Jetbrains插件市场，在Intellij IDEA插件市场中搜索 immomo并安装即可。

插件规则

---

开源版本目前包含以下规则。

规则名称	修复建议	一键修复
多项式拼接型SQL注入漏洞	T
占位符拼接型SQL注入漏洞	T
Mybatis注解SQL注入漏洞	T	T
Mybatis XML SQL注入漏洞	T	T
RegexDos风险	T	T
Jackson反序列化风险	T	T
Fastjson反序列化风险	T	T
Netty响应拆分攻击	T	T
固定的随机数种子风险	T	T
XXE漏洞	T	T
XStream反序列化风险	T	T
脆弱的消息摘要算法	T
过时的加密标准	T
XMLDecoder反序列化风险	T
LDAP反序列化风险	T	T
宽泛的CORS Allowed Origin设置	T
SpringSecurity关闭Debug模式	T	T

开源地址

---

https://github.com/momosecurity/momo-code-sec-inspector-java

陌陌安全

陌陌安全致力于以务实的工作保障陌陌旗下所有产品及亿万用户的信息安全，以开放的心态拥抱信息安全机构、团队与个人之间的共赢协作，以自由的氛围和丰富的资源支撑优秀同学的个人发展与职业成长。

本文始发于微信公众号（安世加）：陌陌SAST IDEA插件开源