Estoy utilizando FindBugs para hacer el análisis del código fuente junto con el complemento Find Security Bugs para detectar específicamente vulnerabilidades de seguridad como Inyección de SQL, XSS, etc. Instalé el complemento FindBugs para Eclipse IDE y estoy usando el código fuente de la web vulnerable conocida aplicación BodgeIt ( enlace ) para evaluar los FindBugs. En el proyecto - > Propiedades - > En las preferencias de FindBugs, he seleccionado mostrar solo la categoría de errores de seguridad en la configuración de Reporter. Cuando ejecuto el análisis de FindBugs en todo el proyecto, encuentra solo Bugs para archivos Java en el directorio "src", como se puede ver en esta captura de pantalla. De alguna manera, es ignorar los archivos jsp para escanear e incluso la opción del menú contextual de FindBugs no parece escanear los archivos JSP. ¿Me estoy perdiendo algo aquí?
