私たちのプロジェクトでは、Groovy クラスと Java クラスの両方を使用しています。ソース コードをスキャンするために、find-sec-bugs プラグイン 1.4.3 と FindBugs 3.0.1 を使用しています。
Groovy クラスのセキュリティ バグは、プラグインによって報告されません。Java クラスは適切にスキャンされます。プロジェクト ページには、プラグインが Groovy で動作することが明確に記載されています。
このテストでは、次の脆弱なコードをコピーし、ソース コードをコンパイルして、スキャンを実行しました。
String generateSecretToken() {
Random r = new Random();
return Long.toHexString(r.nextLong());
}
いくつかの構成がありませんか?