【Java开发规范及漏洞扫描】

在java开发中可以安装idea插件来校验代码是否合规

idea开发规范插件推荐

• Alibaba Java Coding Guidelines

功能：实时检测违反《阿里巴巴Java开发手册》的代码

安装：IDEA → Settings → Plugins → 搜索安装 → 右键项目点击「编码规约扫描」

效果：直接定位到不规范代码（如魔法值、命名问题等）

• SonarLint

功能：本地版SonarQube，实时检查代码质量（含安全漏洞）

优势：无需连接服务器，适合个人开发

• CheckStyle-IDEA

功能：自定义代码风格检查（如缩进、空行等）

配置：提供Google/Sun等预设规则模板

• SpotBugs

功能：检测空指针、资源未关闭等潜在Bug

使用：安装后右键项目 → 「SpotBugs」→ 「Run Analysis」

国内免费漏洞扫描资源

开发规范不能杜绝代码漏洞，平时自己开发玩可以上传到漏洞检查去验证。
注意：公司内部的代码不要上传到外网，使用公司内部的漏洞检查工具。工作之外的，自己写的可以上传到外网

1. 依赖库漏洞检测

• 腾讯云依赖扫描
  🔗 https://mirrors.tencent.com/#/dependency-check

支持：直接上传pom.xml或build.gradle文件

输出：中文漏洞报告，含CVE编号和修复建议

• 开源漏洞库（CNVD）
  🔗 https://www.cnvd.org.cn/

查询方式：搜索组件名（如fastjson 1.2.68）

2. 代码/项目在线扫描

• 华为云DevSecOps（免费额度）
  🔗 https://www.huaweicloud.com/product/secmaster.html

支持：SAST（静态扫描）、DAST（动态扫描）

• 奇安信代码卫士（社区版）
  🔗 https://codesafe.qianxin.com/

限制：单次扫描代码量≤10MB，支持Java/Python等

3. Web应用漏洞扫描

• 长亭科技XRay社区版
  🔗 https://xray.cool/xray/

功能：SQL注入、XSS等基础漏洞检测

使用：下载客户端后输入目标URL即可