【亲测免费】 IDEA代码审计辅助插件（深信服深蓝实验室天威战队强力驱动）使用教程

1. 项目介绍

SecInspector是一款IDEA静态代码扫描插件，旨在编码过程中发现项目潜在的安全风险。该插件通过一键搜索所有的sink点，替代传统的control+F大法，部分漏洞并提供一键修复能力，从而提升安全攻防人员代码审计效率和开发人员代码安全质量。

插件利用IDEA原生Inspection机制检查项目，自动检查当前活跃窗口的活跃文件，检查速度快，占用资源少。插件提供的规则名称均以"SecInspector"开头，由深信服深蓝实验室天威战队强力驱动。

2. 项目快速启动

安装步骤

1. 打开Intellij IDEA，进入Settings -> Plugins。
2. 获取SecInspector的jar文件。
3. 在Plugins界面中，选择Install Plugin from Disk，选中下载的SecInspector jar文件进行安装。

使用方法

方法一：自动扫描

该插件会在您编码过程中自动扫描当前编辑的代码，并实时提醒安全风险。

方法二：手动扫描

1. 在IDEA中，选择Analyze -> Inspect Code。
2. 选择需要扫描的项目或文件范围。
3. 在Inspection profile中，选中SecInspector规则进行扫描。

3. 应用案例和最佳实践

项目审计

以项目审计为例，反编译jar包后，将源码标记为Source Root，扫描业务代码，跟踪该方法即可分析出rce的漏洞。

最佳实践

1. 定期扫描：建议开发团队定期使用SecInspector对代码进行扫描，确保代码安全。
2. 漏洞修复：发现漏洞后，及时使用插件提供的一键修复功能进行修复。
3. 团队培训：对开发团队进行SecInspector的使用培训，提高代码安全意识。

4. 典型生态项目

momo-code-sec-inspector-java

该项目是一个Java代码安全审计工具，与SecInspector结合使用，可以进一步提升代码审计的效率和准确性。项目地址：momo-code-sec-inspector-java

其他相关项目

• SonarQube：一个开源的代码质量管理平台，可以与SecInspector结合使用，提供更全面的代码质量管理。
• OWASP Dependency-Check：用于检测项目中使用的第三方库是否存在已知的安全漏洞。

通过结合这些生态项目，可以构建一个完整的代码安全审计和质量管理体系。