问题标签 [sast]

我低于 checkmarx 中突出显示的中等漏洞：

第#行中 r-config\com\mycompapi\RController.java 的 rModificationRequest 可能无意中允许在第# 行的对象 r-config\com\mycompservices\RService.java 中设置 modifyR 中的 saveAndFlush 的值。

在这里做什么还是误报？我也没有看到任何关于声纳立方体扫描有或可能在我不知道的地方做什么的评论 - 我是 checkmarx 的新手。

我在 GIT 中有不同的代码分支？

当我在这些分支上运行 checkmarx 时，我不知道从哪个分支扫描完成。有什么方法 checkmarx 还可以判断触发了哪个分支扫描？

我们正在尝试修复 checkmarx 报告的一些问题，我不得不说存储的 xxx 串行问题很难找到解决方案。

关于这个，我们有以下代码

然后我使用这样的实体：

Checkmarx 仍然在 inputSteam 行报告问题，但我已经在返回实体之前对其进行了编码。我该如何解决这样的问题？

我已经在我们的 Jenkins 管道中集成了 Fortify SCA。一位产品负责人给出了一个正当的理由来压制 XXE 漏洞 JAVA 以供未来的 Fortify Scan 使用。有谁知道如何抑制 Jenkins 脚本中的漏洞以抑制漏洞。如果有人给出任何过滤器示例，那就太好了。

目前，如果您的 apk 具有以下一些可能以漏洞告终的漏洞/不良做法，谷歌会在发布和阻止新版本之前开始分析 apk。https://developer.android.com/google/play/asi#campaigns

我也需要开始检测这些问题以使其自动化并将它们包含在静态代码分析管道/步骤中。有人知道如何检测它吗？

问候

当我们使用 fortify 进行静态代码分析时，我们遇到了一个问题，即我们的 Bitbucket 存储库中不存在代码库，我们通过将 .fpr 文件复制并上传到前端 fortify 服务器来进行手动扫描。

那么，如何让 fortify 扫描服务器添加/构建一个用于扫描的新项目，如果它之前在 bitbucket 中不存在，就像我上面提到的情况一样。

我目前正在开发一个 PowerShell 脚本，其中包含连接到 SQL DB 的 10k 行代码。虽然在 IDE 中使用插件（例如 Java 或 C#）来扫描代码（Resharper/Fortify 或 Sonarcube 插件）并在构建过程中执行 SAST 分析被认为是最佳实践，但我找不到任何适合的工具除了 PSScriptAnalyzer 之外的 PowerShell 代码，它对难闻的气味有好处，但不太被认为是 SAST 工具。

这种工具目前根本无法用于 PowerShell，还是您知道任何有用的工具？

KR克里斯

我们有一个镜像到 Gitlab 的 bitbucket 存储库。现在我们要为 go (gosec) 启用 SAST 插件：https ://docs.gitlab.com/ee/user/application_security/sast/由于 go 代码中的导入仍然指向 bitbucket，因此当分析器运行时它会尝试使用 bitbucket API 获取包信息并失败并返回 403 错误，因为它没有获取详细信息的令牌。有关为镜像仓库启用此插件的任何 SOP 吗？

我正在尝试在 Gitlab-ci 中设置 MobSF SAST 并遇到一些问题。

我已按照Gitlab Docs和MobSF Gitlab repo中的说明进行操作

但是，当我添加：

到我的 .gitlab-ci.yml 。我收到一个 yml 错误，指出它无法访问

我的 .gitlab-ci.yml 文件如下所示：

我的机器上有一个 docker 映像，其中 gitlab-runners 作为映像。有没有人对如何实现这一点有任何想法，以便我可以在 Android 和 iOS 上运行自动化 MobSF SAST？

对于 dot net core 3.2 应用程序，我们可以使用 SonarQube 进行静态应用程序安全测试 (SAST) 吗？如果没有，那么还有什么替代方案。我来自 Java 背景，我知道 FindSecBugs 之类的插件可以与 SonarQube for Java 源代码一起使用。

谢谢。