SpringBoot 提供了快速輕松地構建基于Spring 的應用程序所需的工具、功能和依賴項。因此，它已成為創建Java Web 應用程序和微服務的熱門選擇。與其他服務器端技術一樣，保護 Spring Boot應用程序免受可能在生產中被利用的安全漏洞的影響至關重要。Kiuwan平臺幫助我們在開發生命周期的早期識別和修復問題，遠在發布到生產環境之前，這個支持角博客將向您展示如何操作。

Kiuwan通過在開發環境、生成服務器或CI/CD 管道中運行Kiuwan 本地分析器（KLA）來啟動。當指向源目錄或存儲庫時，KLA會掃描并分析其中的所有源代碼和配置文件。SpringBoot 項目將主要包含Java 源文件，但也可能有HTML、JavaScript或其他文件類型?？偠灾?，Kiuwan掃描了30多種語言的安全漏洞。

使用KLA 掃描后，結果將組織并顯示在Kiuwan 門戶中，以及修復每個漏洞所需的所有詳細信息。在這個SpringBoot應用程序中，Kiuwan發現了服務器端請求偽造（SSRF），跨站點請求偽造（CSRF）和其他幾個安全漏洞：

雖然Kiuwan SAST 專注于我們應用程序源代碼中的漏洞，但Kiuwan 的軟件組合分析（SCA）可識別來自第三方依賴項的威脅。第三方依賴項可能會引入許可證風險、已知的安全CVE 和CWE，或運行過期軟件包而導致的過時問題：

在我們的Spring Boot 應用程序中發現這些漏洞后，Kiuwan的行動計劃幫助我們在現有的開發生命周期中組織這項工作。例如，如果沖刺（sprint）中只有五個小時用于應用安全，Kiuwan將確定我們可以在該時間范圍內修復的最高優先級問題：

總體而言，Kiuwan使我們能夠在將 SpringBoot應用程序發布到生產環境之前識別、確定優先級和修復安全問題。通過將安全性左移，我們可以節省時間、精力和精力，并不斷提高應用程序的安全性，作為任何現有開發過程的一部分。

審核編輯：劉清