Spring Boot 提供了快速轻松地构建基于Spring 的应用程序所需的工具、功能和依赖项。因此，它已成为创建Java Web 应用程序和微服务的热门选择。 与其他服务器端技术一样，保护 Spring Boot应用程序免受可能在生产中被利用的安全漏洞的影响至关重要。Kiuwan平台帮助我们在开发生命周期的早期识别和修复问题，远在发布到生产环境之前，这个支持角博客将向您展示如何操作。

Kiuwan通过在开发环境、生成服务器或CI/CD 管道中运行Kiuwan 本地分析器 （KLA） 来启动。当指向源目录或存储库时，KLA会扫描并分析其中的所有源代码和配置文件。Spring Boot 项目将主要包含Java 源文件，但也可能有HTML、JavaScript或其他文件类型。总而言之，Kiuwan扫描了30多种语言的安全漏洞。

使用KLA 扫描后，结果将组织并显示在Kiuwan 门户中，以及修复每个漏洞所需的所有详细信息。在这个Spring Boot应用程序中，Kiuwan发现了服务器端请求伪造（SSRF），跨站点请求伪造（CSRF）和其他几个安全漏洞：

虽然Kiuwan SAST 专注于我们应用程序源代码中的漏洞，但Kiuwan 的软件组合分析 （SCA） 可识别来自第三方依赖项的威胁。第三方依赖项可能会引入许可证风险、已知的安全CVE 和CWE，或运行过期软件包而导致的过时问题：

在我们的Spring Boot 应用程序中发现这些漏洞后，Kiuwan的行动计划帮助我们在现有的开发生命周期中组织这项工作。例如，如果冲刺 （sprint） 中只有五个小时用于应用安全，Kiuwan将确定我们可以在该时间范围内修复的最高优先级问题：

总体而言，Kiuwan使我们能够在将 Spring Boot应用程序发布到生产环境之前识别、确定优先级和修复安全问题。通过将安全性左移，我们可以节省时间、精力和精力，并不断提高应用程序的安全性，作为任何现有开发过程的一部分。

公司名称：北京哲想软件有限公司

北京哲想软件官方网站：cogitosoft.com

北京哲想软件微信公众平台账号：cogitosoftware

北京哲想软件微博：哲想软件

北京哲想软件邮箱：sales@ cogitosoft.com

销售（俞先生）联系方式： 86（010）68421378

微信：18610247936     QQ：368531638