SpotBugs
In questa fase vengono identificate possibili vulnerabilità all’interno del codice sorgente tramite il tool SpotBugs.
Il tool viene utilizzato fin dalle fasi di sviluppo dai programmatori tramite il plugin per Eclipse come descritto nella sezione SpotBugs Eclipse Plugin.
Ad ogni commit sul master dei sorgenti del progetto viene effettuata automaticamente una verifica dei sorgenti nell’ambiente di Continuous Integration Jenkins di GovWay. Maggiori dettagli vengono forniti nella sezione SpotBugs Warnings Jenkins Plugin.
Una verifica manuale dei sorgenti del progetto GovWay è attuabile seguento le indicazioni presenti nella sezione SpotBugs Maven Plugin.
Configurazione
Di seguito vengono forniti i criteri di esecuzione dell’analisi statica tramite il tool “SpotBugs”:
efforts: viene utilizzato il livello “max” che consente di avere la massima precisione per trovare più bug (vedi sezione efforts);
confidence: viene utilizzato il livello “low” per non filtrare alcun bug (vedi parametro confidence);
rank: vengono verificati tutti i livelli di bug da 1 a 4 (quelli considerati “spaventosi”), quelli da 5 a 9 (gravi), da 10 a 14 (preoccupanti) e il livello 15 dei bug di basso profilo.