RenFengJiang
8 months ago
parent
a3fd6d1d62
commit
2ada807f82
@ -0,0 +1,67 @@ |
|||||||
|
/* |
||||||
|
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved. |
||||||
|
* 项目名称:信息安全性设计准则检查插件 |
||||||
|
* 项目描述:用于检查源代码的安全性设计准则的Sonarqube插件 |
||||||
|
* 版权说明:本软件属北京关键科技股份有限公司所有,在未获得北京关键科技股份有限公司正式授权情况下,任何企业和个人,不能获取、阅读、安装、传播本软件涉及的任何受知识产权保护的内容。 |
||||||
|
*/ |
||||||
|
|
||||||
|
package com.keyware.sonar.java.rules.checkers; |
||||||
|
|
||||||
|
import org.sonar.check.Rule; |
||||||
|
import org.sonar.plugins.java.api.IssuableSubscriptionVisitor; |
||||||
|
import org.sonar.plugins.java.api.tree.*; |
||||||
|
|
||||||
|
import java.util.ArrayList; |
||||||
|
import java.util.Collections; |
||||||
|
import java.util.List; |
||||||
|
|
||||||
|
/** |
||||||
|
* 错误消息中不得包含敏感信息 |
||||||
|
* 1.获取到throw类型的节点数据 |
||||||
|
* 2.获取到其中的变量参数 |
||||||
|
* 3.判断参数是否是违规项 |
||||||
|
* |
||||||
|
* @author RenFengJiang |
||||||
|
* @date 2024/1/20 |
||||||
|
*/ |
||||||
|
@Rule(key = "ErrorMessageChecker") |
||||||
|
public class ErrorMessageChecker extends IssuableSubscriptionVisitor { |
||||||
|
|
||||||
|
private static List<String> lists = new ArrayList<>(){{ |
||||||
|
add("weapon"); |
||||||
|
add("unit"); |
||||||
|
add("param"); |
||||||
|
}}; |
||||||
|
|
||||||
|
@Override |
||||||
|
public List<Tree.Kind> nodesToVisit() { |
||||||
|
/** |
||||||
|
* Tree.Kind.METHOD:方法节点 |
||||||
|
* Tree.Kind.BLOCK:方法的代码块节点 |
||||||
|
* Tree.Kind.METHOD_INVOCATION: 方法的调用节点 |
||||||
|
*/ |
||||||
|
return Collections.singletonList(Tree.Kind.THROW_STATEMENT); |
||||||
|
} |
||||||
|
|
||||||
|
@Override |
||||||
|
public void visitNode(Tree tree) { |
||||||
|
IdenVisitor idenVisitor = new IdenVisitor(this); |
||||||
|
tree.accept(idenVisitor); |
||||||
|
} |
||||||
|
|
||||||
|
class IdenVisitor extends BaseTreeVisitor{ |
||||||
|
private final ErrorMessageChecker checker; |
||||||
|
public IdenVisitor(ErrorMessageChecker checker){ |
||||||
|
this.checker = checker; |
||||||
|
} |
||||||
|
|
||||||
|
//判断参数是否是违规参数
|
||||||
|
@Override |
||||||
|
public void visitIdentifier(IdentifierTree tree) { |
||||||
|
if(lists.contains(tree.name())){ |
||||||
|
checker.context.reportIssue(checker, tree, "错误消息中不得包含敏感信息"); |
||||||
|
} |
||||||
|
} |
||||||
|
|
||||||
|
} |
||||||
|
} |
||||||
@ -0,0 +1,16 @@ |
|||||||
|
<!-- |
||||||
|
~ Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved. |
||||||
|
~ 项目名称:信息安全性设计准则检查插件 |
||||||
|
~ 项目描述:用于检查源代码的安全性设计准则的Sonarqube插件 |
||||||
|
~ 版权说明:本软件属北京关键科技股份有限公司所有,在未获得北京关键科技股份有限公司正式授权情况下,任何企业和个人,不能获取、阅读、安装、传播本软件涉及的任何受知识产权保护的内容。 |
||||||
|
--> |
||||||
|
|
||||||
|
<p>错误消息中不得包含敏感信息</p> |
||||||
|
<h2>在呈现错误消息中仅含有对目标受众有用的少量信息,如必要连接地址、程序错误代码、数据库访问失败的原因等</h2> |
||||||
|
<pre> |
||||||
|
|
||||||
|
</pre> |
||||||
|
<h2>合规解决方案</h2> |
||||||
|
<pre> |
||||||
|
|
||||||
|
</pre> |
||||||
@ -0,0 +1,13 @@ |
|||||||
|
{ |
||||||
|
"title": "错误消息中不得包含敏感信息", |
||||||
|
"type": "CODE_SMELL", |
||||||
|
"status": "ready", |
||||||
|
"remediation": { |
||||||
|
"func": "Constant\/Issue", |
||||||
|
"constantCost": "5min" |
||||||
|
}, |
||||||
|
"tags": [ |
||||||
|
"28suo" |
||||||
|
], |
||||||
|
"defaultSeverity": "Minor" |
||||||
|
} |
||||||
@ -0,0 +1,20 @@ |
|||||||
|
/* |
||||||
|
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved. |
||||||
|
* 项目名称:信息安全性设计准则检查插件 |
||||||
|
* 项目描述:用于检查源代码的安全性设计准则的Sonarqube插件 |
||||||
|
* 版权说明:本软件属北京关键科技股份有限公司所有,在未获得北京关键科技股份有限公司正式授权情况下,任何企业和个人,不能获取、阅读、安装、传播本软件涉及的任何受知识产权保护的内容。 |
||||||
|
*/ |
||||||
|
|
||||||
|
public class ErrorMessageRule { |
||||||
|
public static void main(String[] args) { |
||||||
|
try { |
||||||
|
String weapon = "A"; |
||||||
|
String a = "1"; |
||||||
|
// Try block to check for exceptions
|
||||||
|
throw new Exception("Java Exception"+weapon + a);// Noncompliant {{错误消息中不得包含敏感信息}}
|
||||||
|
} catch (Exception e) { |
||||||
|
// Catch block to handle the exception
|
||||||
|
System.out.println("Caught Exception: " + e.getMessage()); |
||||||
|
} |
||||||
|
} |
||||||
|
} |
||||||
@ -0,0 +1,30 @@ |
|||||||
|
/* |
||||||
|
* Copyright (c) 2023 - 2024. KeyWare.Co.Ltd All rights reserved. |
||||||
|
* 项目名称:信息安全性设计准则检查插件 |
||||||
|
* 项目描述:用于检查源代码的安全性设计准则的Sonarqube插件 |
||||||
|
* 版权说明:本软件属北京关键科技股份有限公司所有,在未获得北京关键科技股份有限公司正式授权情况下,任何企业和个人,不能获取、阅读、安装、传播本软件涉及的任何受知识产权保护的内容。 |
||||||
|
*/ |
||||||
|
|
||||||
|
package com.keyware.sonar.java.rules.checkers; |
||||||
|
|
||||||
|
import com.keyware.sonar.java.utils.FilesUtils; |
||||||
|
import org.junit.jupiter.api.Test; |
||||||
|
import org.sonar.java.checks.verifier.CheckVerifier; |
||||||
|
|
||||||
|
/** |
||||||
|
* TODO ErrorMessageCheckerTest |
||||||
|
* |
||||||
|
* @author RenFengJiang |
||||||
|
* @date 2024/1/20 |
||||||
|
*/ |
||||||
|
public class ErrorMessageCheckerTest { |
||||||
|
|
||||||
|
@Test |
||||||
|
public void test() { |
||||||
|
CheckVerifier.newVerifier() |
||||||
|
.onFile("src/test/files/ErrorMessageRule.java") |
||||||
|
.withCheck(new ErrorMessageChecker()) |
||||||
|
.withClassPath(FilesUtils.getClassPath("target/test-jars")) |
||||||
|
.verifyIssues(); |
||||||
|
} |
||||||
|
} |
||||||
Loading…
Reference in new issue