问题标签 [sast]

一般：要扫描的代码是 .java 文件（Java EE），依赖项作为单独的 JAR 提供

目标： 如何为 checkmarx 提供构建项目所需的所有 Java 依赖项，以尽可能完善并完成扫描？我对检测依赖项本身的问题不感兴趣，也不希望将这些问题包含在 checkmarx 报告中。

原因： 没有依赖关系的扫描没有返回任何结果，这对于代码库的大小和复杂性来说有点不寻常。我在本地拥有所有依赖项，并且可以在我的 IDE 中构建项目（想法）。当我压缩文件夹并通过 Web 界面上传它以进行新扫描时，我看不到任何方法告诉 Chekmarx 有关依赖项（CLI 和 maven 插件只有在扫描中包含或排除文件和目录的选项）。我没有使用 maven checkmarx 插件，因为它需要 Checkmarx 扫描仪机器无法访问的资源（包括依赖项）。

我目前正在探索的方法是将依赖项分解到项目源文件夹中，以便解析导入并且 Checkmarx 可以构建项目。然而，一些依赖 JAR 包括 java 源文件，其他仅包括类文件，并且看起来 Checkmarx CxSAST 不支持扫描类文件（也不是 JAR）。如果我可以扫描代码，我可以通过在 Web 界面中标记它们并将它们从报告中排除来过滤掉在依赖项中发现的任何问题。

我正在努力解决 CheckMarx 漏洞之一。我需要一些指导来支持这一点。下面是我的代码：

这里con是(HttpurlConnection) new URL("some url").openConnection()。

因此，checkmarx 在in.readLine()突出显示问题。

我试过的解决方法：

1：StringEscapeUtils.unescapeJson(in.readLine())，它没有帮助。

2：通过在谷歌某处阅读，使用in.lines().collect(Collectors.joining())代替in.readline()。它帮助解决了这个问题，但在con.getInputStream()引入了一个新的（相同的漏洞）。

请帮助解决此问题。提前致谢。

我们最近在我们的代码库上开始了 Checkmarx 扫描，我们遇到了以下漏洞问题，这是由于 web.config 中的连接字符串中提到了平面密码，如下所示：

错误：

身份验证。凭据。未受保护

我尝试了一些解决方案，如加密、参数化配置、加密 web.config，但没有任何效果。有人可以就此提出建议吗？

我正在尝试phpcs-security-audit通过包含GitLab 的 SAST 模板来使用。它按预期生成报告，但报告中充满了来自库的警告和我想忽略以使报告有用的特定警告。

如果我自己跑phpcs，phpcs-security-audit我可以将设置存储在配置文件中。将设置存储在.phpcs.xml本地工作，但对 GitLab 的phpcs-security-audit分析器没有影响。我找不到任何文档。是否可以配置分析仪，如果可以，如何配置？

我正在尝试将 SAST 和 DAST 扫描集成到 Gitlab CI/CD 管道中。到目前为止，这是我的 gitlab-ci.yml：

管道扫描静态分析：

图片：veracode/pipeline-scan：最新阶段：仅限 Security_Scan：- 功能分支脚本：- zip myapp.zip ./sample/* - java -Dpipeline.debug=true -jar /opt/veracode/pipeline-scan.jar - vid $TEAM_ANALYSISCENTER_ID -vkey $TEAM_ANALYSISCENTER_KEY --file myapp.zip --issue_details true --gl_issue_generation true -jf results.json 2>&1 | tee policy_scan_output.txt 工件：路径：- results.json - policy_scan_output.txt 何时：始终名称：“veracode-POLICY-SCAN-$CI_COMMIT_REF_NAME-$CI_COMMIT_SHORT_SHA”allow_failure：false

我正在我们的代码存储库中实施 Checkmarx 扫描。我正在使用 Jenkins 和 CheckMarx 插件来完成这项任务。我想从扫描中排除一些文件夹；引用 Jenkins插件文档似乎我所要做的就是在“excludeFolders”字段中添加文件夹名称。但是，这似乎不起作用，或者我没有正确输入值。

我试过'/test'，'test/'，'！/test/ /*' 但没有任何作用，并且该文件夹在上传到我们的 CheckMarx 服务器之前仍然被注册和压缩。

以下是我的管道中的内容：

关于如何排除“测试”文件夹的任何建议？

我有一个解析输入参数的python代码，如下所示：

对于上述代码，Checkmarx 显示“args=parser.parse_args()”的高严重性错误消息，如下所示：

应用程序的 get_process_output 方法通过 Popen 调用 OS（shell）命令，使用不受信任的字符串和要执行的命令。这可能允许攻击者注入任意命令，并启用命令注入攻击。攻击者可能能够通过用户输入 parse_args 注入执行的命令，该命令由应用程序在 {} 方法中检索...

上面的python代码是在内部使用的（不是在像网站这样的公共环境中），所以不会发生命令注入。所以在这种情况下通过 Checkmarx 扫描，你能告诉我任何更新我的 python 代码的线索吗？（例如，我可以使用其他 python-API 来替换上面的“args=parser.parse_args()”吗？谢谢！

Checkmarx OSA 发现：com.fasterxml.jackson.core:jackson-databind 您的版本已过时但是当我扫描依赖项时我找不到，因为我们在项目中有任何杰克逊库。你知道可能是什么问题吗？

我正在使用 Checkmarx 安全工具来扫描我的代码。它在存储库中引发不正确的资源访问授权错误。

我正在开发一个 SAST（静态应用程序安全测试）扫描仪的项目。人们可以建议最佳实践以更快地阅读代码库吗？

我很少有像使用 AST 或 BCEL 这样​​的想法。

请建议