如何在CICD流水线中集成SonarQube安全插件以检测SQL注入?
- 内容介绍
- 文章标签
- 相关推荐
本文共计873个文字,预计阅读时间需要4分钟。
能直接检测SQL注入,但需配对规则及上下文识别,否则漏报率极高。
为什么默认扫描不报SQL注入
SonarQube 默认开启的是基础代码质量规则,security 类规则(如 SQL 拼接、硬编码密码)默认是关闭的。Java 项目里,@Query 字符串拼接、JdbcTemplate.execute() 动态 SQL、MyBatis 的 ${} 占位符这些高危模式,只有显式启用对应安全规则集才会被标记。
本文共计873个文字,预计阅读时间需要4分钟。
能直接检测SQL注入,但需配对规则及上下文识别,否则漏报率极高。
为什么默认扫描不报SQL注入
SonarQube 默认开启的是基础代码质量规则,security 类规则(如 SQL 拼接、硬编码密码)默认是关闭的。Java 项目里,@Query 字符串拼接、JdbcTemplate.execute() 动态 SQL、MyBatis 的 ${} 占位符这些高危模式,只有显式启用对应安全规则集才会被标记。