sushilmali/Java-SAST-Scanner

\# 🛡️ 基于 Java 的静态应用安全测试 (SAST) 扫描器 \## 📌 项目概述 一款采用 \*\*Java\*\* 开发的自动化、轻量级命令行安全审计引擎。该工具利用正则表达式引擎逐行扫描应用程序源代码，旨在代码进入生产环境之前发现系统性的安全漏洞、硬编码的凭据以及高风险的注入缺陷 \[3.1]。 \## ⚡ 核心功能 \* \*\*凭据泄露检测：\*\* 扫描代码库中的字符串，查找硬编码的密码、数据库密钥和私有 API key。 \* \*\*SQL 注入 (SQLi) 识别：\*\* 标记原生 SQL 字符串中不安全的字符串拼接操作，以促使开发者使用安全的 `PreparedStatements` \[3.1]。 \* \*\*命令注入控制：\*\* 突出显示具有风险的系统级进程执行函数，如 `Runtime.getRuntime().exec()`。 \## 🛠️ 技术栈 \& 架构 \* \*\*语言：\*\* Java (JDK 17+) \* \*\*引擎：\*\* Java 正则表达式解析引擎 (`java.util.regex`) \* \*\*环境：\*\* 命令行界面 (CLI) \## 🚀 未来路线图 \* 扩展分析规则，以直接映射完整的 \*\*OWASP Top 10\*\* 漏洞 \[3.1]。 \* 实现针对自动化 DevSecOps CI/CD pipeline 优化的 JSON/HTML 日志解析报告 \[4.1]。 ## 💻 如何运行扫描器本地实验 要对任何目标源文件执行本地静态安全审计，请在系统终端中切换至项目根目录，并执行以下核心编译和运行命令： ### 1. 编译扫描引擎 ``` javac --release 17 SecureCodeReviewer.java ``` ### 2. 执行安全审计 ``` java SecureCodeReviewer VulnerableApp.java ```

标签：DevSecOps, JS文件枚举, 上游代理, 域名枚举, 文档结构分析, 静态应用安全测试