我们最近开始使用 Veracode 进行漏洞测试。有没有办法选择性地排除所有第三方库并仅将扫描重点放在我们的内部库代码上?
问问题
3712 次
1 回答
2
您好:您的问题的答案取决于您正在扫描的应用程序所使用的语言。
- Java:Veracode 尊重 WAR 文件结构约定,并将 /lib 目录中的 JAR 视为第三方代码。如果您订阅了该服务,它们将包含在软件组合分析结果中,但我们不会报告驻留在此目录中的代码中的漏洞。
- C/C++ / .NET:默认情况下,只会扫描顶级可执行文件。如果存在第三方库,静态引擎还将遵循从顶级可执行文件到第三方库的代码路径,但不会检查第三方库的所有可能部分是否存在缺陷。如果要扫描第三方依赖库中所有可能的路径以查找缺陷,可以进入高级模式并单击显示依赖项。
- PHP/JavaScript/Android/iOS/其他语言:无法排除这些语言的第三方库。
如果您还有其他问题,请联系 Veracode 支持,他们可以为您提供进一步帮助。
于 2016-03-29T13:40:53.767 回答