Intellij IDEA ( Community / Ultimate ) >= 2021.3
IDEA "Settings" --> "Plugins",获取SecInspector.jar后,选中从本地磁盘安装该插件
该插件会在您编码过程中自动扫描当前编辑的代码,并实时提醒安全风险
IDEA 提供Inspect Code功能支持对整个项目/指定范围文件进行自定义规则的扫描
可以漏洞扫描需求,选中SecInspector规则
插件规则 覆盖常见的RCE、反序列化、SQL注入、JNDI注入、任意文件读取/写入等类型的sink点
以项目审计为例,反编译jar包后,把源码标记为Source Root,扫描业务代码,跟踪该方法即可分析出rce的漏洞
https://github.com/momosecurity/momo-code-sec-inspector-java