SpotbugsのFindSecBugsプラグインを使用して、コードの静的セキュリティ分析を行いました。私のプロジェクトの一部はgradleを使用して構築され、一部はmavenを使用して構築されています。次のようなxmlレポートを提供するmavenのテストに成功しました:
BugInstance instanceOccurrenceNum="0" instanceHash="f52576b87914efbf135c588c2449648e" cweid="117" rank="15" abbrev="SECCRLFLOG" category="SECURITY" priority="3" type="CRLF_INJECTION_LOGS" instanceOccurrenceMax="0">
うまく機能しているようです。次に、Gradle についても同じことを試みました。InstanceHash 属性を取得していないようです。その属性を使用して、バグが繰り返されないようにします。報告を受けます
BugInstance type="PATH_TRAVERSAL_IN" priority="1" rank="10" abbrev="SECPTI" category="SECURITY">
私のbuild.gradleファイル:
apply plugin: "com.github.spotbugs"
dependencies {
spotbugsPlugins 'com.h3xstream.findsecbugs:findsecbugs-plugin:1.9.0'
}
spotbugs {
toolVersion = '3.1.12'
sourceSets = [ sourceSets.main ]
ignoreFailures = true
reportsDir = file("$project.buildDir/findsecbugs")
effort = "max"
reportLevel = "high"
includeFilter = file("$rootProject.projectDir/fsb-include.xml")
excludeFilter = file("$rootProject.projectDir/fsb-exclude.xml")
}
私は何か間違ったことをしていますか?XML レポートに一部の属性が表示されないのはなぜですか?