In questa fase vengono identificate possibili vulnerabilità all'interno del codice sorgente tramite il tool SpotBugs.
Il tool viene utilizzato fin dalle fasi di sviluppo dai programmatori tramite il plugin per Eclipse come descritto nella sezione releaseProcessGovWay_staticCodeAnalysis_spotbugs_eclipse.
Ad ogni commit sul master dei sorgenti del progetto viene effettuata automaticamente una verifica dei sorgenti nell'ambiente di Continuous Integration Jenkins di GovWay. Maggiori dettagli vengono forniti nella sezione releaseProcessGovWay_staticCodeAnalysis_spotbugs_ci.
Una verifica manuale dei sorgenti del progetto GovWay è attuabile seguento le indicazioni presenti nella sezione releaseProcessGovWay_staticCodeAnalysis_spotbugs_maven.
Configurazione
Di seguito vengono forniti i criteri di esecuzione dell'analisi statica tramite il tool 'SpotBugs':
- efforts: viene utilizzato il livello 'max' che consente di avere la massima precisione per trovare più bug (vedi sezione efforts);
- confidence: viene utilizzato il livello 'low' per non filtrare alcun bug (vedi parametro confidence);
- rank: vengono verificati tutti i livelli di bug da 1 a 4 (quelli considerati 'spaventosi'), quelli da 5 a 9 (gravi), da 10 a 14 (preoccupanti) e il livello 15 dei bug di basso profilo.
ci_jenkins eclipse maven