問題タブ [sast]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - checkmarx 格納された絶対パス トラバーサル
checkmarx によって報告されたいくつかの問題を修正しようとしています。保存された xxx シリアルの問題は解決策を見つけるのが難しいと言わざるを得ません。
これについては、次のコードがあります
次に、次のようなエンティティを使用します。
Checkmarx はまだ inputSteam 行で問題を報告していますが、エンティティを返す前に既にエンコードしています。このような問題を解決するにはどうすればよいですか?
bitbucket - Fortify 存在しない bitbucket リポジトリの自動スキャン
静的コード分析に fortify を使用しているため、コードベースが Bitbucket リポジトリに存在しないという問題が発生し、.fpr ファイルをコピーしてフロント Fortify サーバーにアップロードすることで手動でスキャンを行いました。
したがって、上記の場合のように、以前に bitbucket に存在しない場合、fortify スキャン サーバーにスキャン用の新しいプロジェクトを追加/ビルドさせる方法です。
jenkins - ドット ネット コア バージョン 3.2 アプリケーションの SAST に SonarQube を使用できますか?
dot net core 3.2 アプリケーションの場合、静的アプリケーション セキュリティ テスト (SAST) に SonarQube を使用できますか? そうでない場合、代替案は何でしょうか。私は Java のバックグラウンドを持っており、FindSecBugs のようなプラグインを Java ソース コードの SonarQube で使用できることを認識しています。
ありがとう。