[eclipse/STS] 보안 취약점 검사를 위한 PMD설치 및 실행

개발을 하면서, 코드의 품질과 보안성 향상을 위해 시큐어 코딩 가이드를 준수해야 하는 것을 알고있을 것이다.

 

시큐어 코딩

안전한 소프트웨어 개발을 위해 소스 코드 등에 존재할 수 있는 잠재적인 보안 취약점을 제거하고, 보안을 고려하여 기능을 설계 및 구현하는 등 소프트웨어 개발 과정에서 지켜야 할 일련의 보안 활동

 

그렇다면 개발시 이 시큐어 코딩 가이드를 준수했는지의 여부를 어떻게 알 수 있을까? 

 

JAVA에서는 PMD를 많이 사용하는데,

이클립스에서 PMD를 설치하고, 분석한 후 리포트를 다운받아보도록 하겠다.

 

1. PMD 설치

이클립스의 help > Ecilpse Marketplace에 접속 후 pmd를 검색해서 PMD Eclipse 를설치한다.

 

 

2. PMD 실행

검사를 진행할 프로젝트를 우클릭 > PMD > Check Code 클릭.

 

 

프로그램 우측 하단에 검사 진행도가 표시되는 것을 볼 수 있다.

 

Violations Overview 탭을 통해서 결과확인이 가능하다.

만약 창이 뜨지 않는다면 window > show view > other 탭에서 pmd 아래의 violations overview를 클릭.

 

이렇게 자신의 파일에 대한 분석 결과가 나온다. 오른쪽 상단의 다섯 가지 삼각형으로 결과를 필터링할 수 있는데 왼쪽(빨간색)으로 갈수록 심각한 수준의 보안취약점임을 나타낸다. 

 

 

3. reports 파일로 결과 출력하기

프로젝트 reports 폴더에서 출력파일이 생성된다.

기본적으로 .txt파일로 저장되며 html, csv등등 다른 포멧으로도 설정할 수 있다.

또한, 기본적으로 pmd-report라는 파일명으로 덮어쓰기되기 때문에 이전 결과를 기록하고 싶다면 파일을 따로 복사해두어야 한다.

 

프로젝트 우클릭 > PMD > Genetate Reports 를 클릭

 

 

다른 설정과 관련된 사항은 다음 포스팅에서 다루도록 하겠다.