問題タブ [find-sec-bugs]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - セキュリティ バグを見つける - 本当の SQL インジェクションか誤検知か?
コードのセキュリティ上の欠陥を見つけるのに役立つFindBugプラグインと一緒に使用しています。Find Security Bugs一部のコードが SQL インジェクションに対して脆弱であるというフラグが立てられている理由がわかりません。
以下に 2 つの例を示します。
それは偽陽性ですか、それとも何かを見逃しましたか? 問題を正しく理解していれば、createQuery()andsetX()を使用するだけで十分ですか?
java - セキュリティ バグの検出で groovy ファイルがスキャンされない
私たちのプロジェクトでは、Groovy クラスと Java クラスの両方を使用しています。ソース コードをスキャンするために、find-sec-bugs プラグイン 1.4.3 と FindBugs 3.0.1 を使用しています。
Groovy クラスのセキュリティ バグは、プラグインによって報告されません。Java クラスは適切にスキャンされます。プロジェクト ページには、プラグインが Groovy で動作することが明確に記載されています。
このテストでは、次の脆弱なコードをコピーし、ソース コードをコンパイルして、スキャンを実行しました。
いくつかの構成がありませんか?
findbugs - find sec バグプラグイン用のカスタム検出器を作成するには?
find sec bug プラグイン用のカスタム検出器を作成するには? 単語の使用を検出するためのサンプル検出器を誰かが書いてくれれば、それは大いに役立ちます。前もって感謝します