问题标签 [sast]

SonarQube、Coverity、CodeScene、TeamScale 等主要持续检查和静态应用程序安全测试(SAST) 平台之间是否有代表性比较？

我正在验证切换到 Ballerina 作为我们当前 wso2 解决方案的新策略的可能性。有几个优点和缺点。我担心的一个主要问题是缺乏 SAST 支持。有人能够证实这种担忧还是我忽略了什么？

我正在尝试将 Coverity 与我的 .NetStandard2.1 库一起使用。使用如下命令：

运行命令后得到警告和错误：

[警告] 未发出任何文件。这可能是由于您的配置有问题，或者因为您的构建命令实际上没有编译任何文件。请确保您已配置编译中实际使用的编译器。更多详情请看：C:/xxx/Src/MY_EMIT_DIR/build-log.txt

我还尝试明确设置编译器，例如，

我看不到声纳立方体中报告的问题的代码片段。它显示消息“如果由于安全设置，代码不可见，则无法显示源代码”。任何人都知道如何启用代码视图

我们在代码中执行了 Coverity 扫描，发现了与“文件系统路径、文件名或 URI 操作”相关的问题，这是一个影响很大的安全问题。

这是我们一开始的代码：

根据我们的研究和理解，我们更改了以下代码来解决问题：

但是运行扫描后，它仍然显示相同的错误（未解决）。

技术细节：

1. .NET 核心 3.1
2. C＃

我不确定我是否在正确的区域工作，在这种情况下，问题的原因将非常有帮助。

谁能告诉我，正确的步骤应该是什么，为什么会这样。

提前致谢...

在我的 GitLab CI 中：

安全代码扫描失败并出现错误：

csproj 文件末尾有标准（sharepoint 项目相关）行：

当我评论这一行时 - 安全代码扫描成功通过，但发布和部署（从 VS 到 SharePoint 服务器）功能停止工作。

如何在不注释行的情况下通过安全代码扫描？

我在 GitLab CI（GitLab 社区版）14.5.2 中启用了 SAST 扫描。SAST 运行 semgrep 和 ESLint 等工具运行源代码并扫描漏洞。这行得通......除了它没有从我告诉它的结果中排除路径和文件，所以我的报告充满了来自 3rd 方库的垃圾。

由于我不想在报告中包含测试代码或第 3 方的东西，我为此使用 GitLab 提供的变量，称为SAST_EXCLUDED_PATHS我用来排除一些目录的变量。我的价值是这样的：

所以基本上除了默认路径之外，我已经告诉它不要扫描server/libs,或.assetsvendor*.min.js

因此，添加步骤、添加排除项并设置SECURE_LOG_LEVEL为.gitlab-ci.yml 的简化版"debug"。后者，所以我可以看到阶段的调试输出，例如 sast-semgrep。

我可以从调试中看到 sast-semgrep 正在接受我的排除并将它们转化为--exclude参数。但无论如何它只是扫描路径。我什至尝试将 glob 规则附加到路径上，例如“server/libs/**”。我什至尝试过使用绝对路径，例如“$CI_PROJECT_DIR/server/libs”，但这也不起作用。

我启用了调试控制台输出，我什至可以看到像 semgrep 这样的工具正在正确地扩展排除项。但它不起作用！此示例包含一个$CI_PROJECT_DIR没有任何区别的扩展。

据我所知，我正在使用 GitLab 调用的最新 GitLab 和 docker 映像。有谁知道为什么排除不起作用？我是否遗漏了一些明显的东西。仅供参考，我还在 GitLab Ultimate 评估副本中尝试了相同的 CI/CD 脚本，并且是相同的交易。因此，它与社区版中功能较弱的 SAST 功能无关，它仍应生成 JSON 报告。有任何想法吗？

我正在考虑何时是进行 SAST 审查的最佳时机，但我不确定。对我来说，最好的时机是在将我的分支合并到 master 之前（在拉取请求上），因为，您可以在将代码投入生产之前修复它。但是，想象一下，有两个或多个没有任何漏洞的分支（您在合并这些分支之前运行 SAST 审查），如果您将这些没有漏洞的分支合并到 master 中，是否可能在代码上出现新的漏洞？我的意思是没有漏洞的不同代码的组合会使您的代码易受攻击？如果是，你能举个例子吗？在 master 上运行另一个 SAST 审查是否有意义（在合并任何分支之后）？