3

最近、脆弱性テストに Veracode の使用を開始しました。すべてのサードパーティ ライブラリを選択的に除外し、スキャンを内部ライブラリ コードのみに集中させる方法はありますか?

4

1 に答える 1

2

こんにちは: あなたの質問に対する答えは、スキャンしているアプリケーションが書かれた言語によって異なります。

  • Java: Veracode は WAR ファイル構造規則を尊重し、/lib ディレクトリ内の JAR をサード パーティ コードとして扱います。これらは、そのサービスに加入している場合、ソフトウェア構成分析の結果に含まれますが、それ以外の場合、このディレクトリのコードに存在する脆弱性は報告されません。
  • C/C++ / .NET: デフォルトでは、最上位の実行可能ファイルのみがスキャンされます。静的エンジンは、トップ レベルの実行可能ファイルからサード パーティのライブラリが存在する場合はコード パスもたどりますが、サード パーティのライブラリのすべての可能性のある部分に欠陥があるかどうかをチェックするわけではありません。サード パーティの依存ライブラリで考えられるすべてのパスをスキャンして欠陥を探したい場合は、詳細モードに入り、[依存関係を表示] をクリックします。
  • PHP/JavaScript/Android/iOS/その他の言語: これらの言語のサードパーティ ライブラリを除外することはできません。

さらに質問がある場合は、Veracode サポートにお問い合わせください。さらにサポートを提供いたします。

于 2016-03-29T13:40:53.767 に答える