使用静态分析查找Java应用程序中的安全漏洞

   在过去十年中，Web应用程序的安全性变得越来越重要。越来越多基于Web的企业应用程序处理敏感的财务和医疗数据，如果受到损害，除停机时间外，还可能造成数百万美元的损失。保护这些应用程序免受黑客攻击至关重要。但是，当前的应用程序安全状态还有很多不足之处。由计算机安全研究所和联邦调查局进行的2002年计算机犯罪和安全调查显示，在每年的基础上，超过一半的数据库经历至少一次安全漏洞，平均事件导致接近400万美元损失。最近由Imperva应用防御中心进行的渗透测试研究包括来自电子商务，网上银行，企业合作和供应链管理网站的250多个Web应用程序。他们的漏洞评估得出结论，至少92％的Web应用程序容易受到某种形式的黑客攻击。鉴于最近美国的行业法规，例如与信息安全有关的萨班斯-奥克斯利法案，应用程序供应商的安全合规性尤其重要。

   根据最近的一项调查，尽管大约75％的针对Web服务器的攻击针对基于Web的应用程序，但是对端口扫描等网络级攻击给予了极大的关注。传统防御策略（如防火墙）不会受到Web应用程序攻击，因为这些攻击仅依赖于HTTP流量，而这些流量通常可以不受阻碍地通过防火墙。因此，攻击者通常可以直接访问Web应用程序。

   过去许多项目都侧重于防范由C的不安全性引起的问题，例如缓冲区溢出和格式字符串漏洞。然而，近年来，Java已成为构建大型复杂的基于Web的系统的首选语言，部分原因是语言安全功能不允许直接内存访问并消除缓冲区溢出等问题。J2EE（Java 2 Enterprise Edition）等平台也促进了Java作为实现电子商务应用程序（如Web商店，银行站点等）的语言。