Mi sono rotto la testa per scoprire il vero strumento di analisi del codice sorgente open source che può scoprire vulnerabilità di sicurezza. Ho fatto una ricerca approfondita sul web e ho scoperto tre link principali che elencano gli strumenti di analisi del codice sorgente open source / commerciale: link link link
Successivamente ho creato un elenco di strumenti open source in grado di eseguire la scansione delle vulnerabilità di sicurezza nel codice Java, ad esempio FindBugs, LAPSE +, SWAAT e Orizon di OWASP, VCG, Google CodeSearchDiggity e YASCA come aggregatore di questi strumenti. FindBugs e LAPSE + sono disponibili come plugin di Eclipse. VCG era più di semplice backbone in cui puoi aggiungere le tue regole personalizzate e meno da offrire così com'è e funziona solo su piattaforma Windows. LAPSE + richiede l'esecuzione di una versione specifica di Eclipse (Helios nel mio caso).
Voglio trovare almeno le vulnerabilità di OWASP Top 10 eseguendo l'analisi statica del codice sorgente. Un modo per farlo?