问题标签 [spotbugs]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 无法在 https://spotbugs.github.io/eclipse/content.xml 读取存储库
我尝试安装 SpotBugs 但出现以下错误。
无法在https://spotbugs.github.io/eclipse/content.xml读取存储库。java.lang.RuntimeException:意外错误:java.security.InvalidAlgorithmParameterException:trustAnchors 参数必须为非空
我使用:openjdk version "10.0.1" 2018-04-17 OpenJDK Runtime Environment (build 10.0.1+10-Ubuntu-3ubuntu1) OpenJDK 64-Bit Server VM (build 10.0.1+10-Ubuntu-3ubuntu1,混合模式)
并且:Eclipse 版本:Oxygen.3a 版本 (4.7.3a)
android - 将 SpotBugs 添加到我的项目中
我一直在努力将SpotBugs添加到我目前正在处理的 android 项目中。我设法让它工作,但我对它的设置方式并不过分兴奋。目前配置位于我的 app/build.gradle 文件中,这使得该文件更难管理。
我想知道是否有 SpotBugs/Gradle 专家知道如何将配置提取到单独的文件中。
这是我的 app/build.gradle (样板已删除):
编辑
每当我尝试将 SpotBugs 从我的 app/build.gradle 中分离出来时,都会遇到以下错误:
Could not get unknown property 'SpotBugsTask' for project ':app' of type org.gradle.api.Project.
这是我的gradle文件:
android - 发现依赖默认编码:new java.io.FileWriter(File, boolean)
我正在使用 FileWrite 类写入文件。它工作正常。但是 FindBugs 在我的代码片段中指出了一个小问题。
代码片段:
查找错误报告:
依赖默认编码发现依赖默认编码:new java.io.FileWriter(File, boolean)
我在哪一行收到此错误?
有人可以简要介绍一下这到底是什么吗?我们如何解决这个问题?
android - getEncryptedData(String) 调用效率低下的新 String(String) 构造函数 - Findbugs
我正在尝试将 byte[] 转换为 String.and 它工作正常。但是 FindBugs 在我的代码片段中指出了一个小问题。
代码片段:
查找错误报告:
getEncryptedData(String) 调用低效的新 String(String) 构造函数
我在哪一行收到此错误?
有人可以简要介绍一下这到底是什么吗?我们如何解决这个问题?
java - 如何为 Checkstyle 和 Findbugs 设置基线?
可以为项目代码创建基线(例如,代码将从我指定的时间开始检查,当前问题将被忽略)用于Checkstyle和Findbugs使用 Maven 或其他东西?
java - FindBug 没有从 javax.annotation.Nullable 方法中检测到 null
我不确定它是否应该,但 FindBug 没有检测到以下错误:
它只检测:
但是这种情况不如检查@Nonnull返回方法合同有用...
我用:
和摇篮:
java - 如何在 spotbug 报告中标记误报
我浏览了 spotbug https://spotbugs.readthedocs.io/en/stable/的文档
然而,关于误报的信息并不全面。
请帮助我将某些错误报告为误报的步骤,以便这些错误不再是报告的一部分。
PS - 在我们的案例中不能使用 SuppressFBWarnings。
security - Workfusion 代码是否有任何 SAST 工具?
目前,我参与了一个为 Workfusion 机器人实施安全代码审查的项目。Workfusion 可以处理嵌入在 XML 文件或独立代码中的 Java 和 Groovy 代码的混合。
我的团队正在尝试评估是否可以为此使用任何免费/开源的静态应用程序安全工具。我目前正在探索为 Spotbugs 创建插件的可能性。
我能够使用带有 Spotbugs 和 FindSecBugs 插件的 Java 代码 + Maven 成功运行评论,但我还没有弄清楚如何扩展 Spotbugs 以解析 XML 文件、提取嵌入的 Groovy 脚本并分析它们。
您是否知道 Workfusion 的任何静态应用程序安全工具,或者可以建议任何方法来扩展任何其他 SAST 工具?
java - SpotBugs Maven 插件排除目录
我使用SpotBugs Maven 插件进行静态分析,我想从检查中排除一个目录。查看spotbugs:check 目标文档,似乎无法配置插件是这样的。我还检查了 SpotBugs过滤器文件的文档。
在 Apache Maven PMD 插件中,这可以通过使用excludeRoots参数来完成:
是否可以从 SpotBugs 检查中排除目录?
spring - How to encode response to JSON in filter without failing XSS
BELOW IS THE static code analysis report from SpotBugs
XSS_SERVLET: Potential XSS in Servlet A potential XSS was found. It could be used to execute unwanted JavaScript in a client's browser. (See references)
Vulnerable Code:
Solution:
Encode.forJava for JavaScript is writing special chars and JSON string is compromised.
How to use Encoder to send JSON string. without failing security CHECK