こんにちは!checkmarx スキャンの信頼性に関心があります。
次の 2 つのファイルのみで checkmarx プロジェクトを作成しました。
- library.minified.js
- library.formatted.js
から生成するためにbeautifier.ioを使用しました。他に変更はありません。2 つのファイルは、空白の書式設定の変更を除いてまったく同じです。library.formatted.jslibrary.minified.js
心配なことに、checkmarx は 2 つの類似したファイルに対して異なるセキュリティ上の脅威を認識しています。特に、圧縮されたバージョンではリスクの高い項目がいくつか認識されますが、フォーマットされたバージョンではリスクの高い項目は認識されません。
2 つの JavaScript ファイルがフォーマットを除いて同一である場合、なぜ checkmarx はそれぞれに異なるセキュリティ脅威を認識するのでしょうか?
JS インタープリターによって無視される要素である空白が評価に影響を与える場合、checkmarx の判断をどのように信頼しますか?