SonarQubeでJavaのバグと脆弱性を見つける話:静的解析が「後から困る」を減らしてくれる
SonarQubeは、Javaコードを静的解析して、バグや脆弱性の候補を自動で見つけるツール 記事の例では、ハードコードされたAPI key を検出できたのが大きなポイント JenkinsなどのCI/CDに組み込むと、毎回自動でチェックできて抜け漏れが減る Quality Gate を設定すると、問題のあるコードはマージ前に止められる ただし万能ではなく、false positive(誤検知)や security hotspot の手動レビューも大事 個人的には、SonarQubeの価値は「検出」よりも「開発の流れに安全を組み込めること」にあると思う 元記事は、かなり現場感のある話から始まります。 あるチームがセキュリティ監査を受けたところ、支払い処理モジュールに重大な脆弱性が見つかりました。 しかも、ユニットテストも統合テストも通っていたし、コードレビューも一見きれいだった。 それなのに、監査で見つかったのはユーティリティクラスに隠れていたハードコードされたAPI keyだった、というわけです。 ここが非常に重要です。
papoo.work