Описание тега find-sec-bugs
Используйте тег find-sec-bugs, чтобы задать вопросы о плагине Find Security Bugs для SpotBugs.
1
ответ
Уязвимости обхода пути не найдены в коде Scala
Я пытался сканировать мой код с помощью плагинов SonarQube + FindBugs + FindSecBugs. Идея состоит в том, чтобы обнаружить уязвимости в коде, и, как говорится в теме проекта github, он работает со scala https://github.com/find-sec-bugs/find-sec-bugs …
03 дек '18 в 19:31
1
ответ
Как написать собственный детектор для плагина find sec bug?
Как написать собственный детектор для плагина find sec bug? Это поможет полностью, если кто-то напишет образец детектора, чтобы обнаружить использование слова. заранее спасибо
23 июн '16 в 06:28
2
ответа
Ложные срабатывания для SQL-инъекций от find-sec-bugs
Мы используем find-sec-bugs с findbugs, чтобы найти потенциальные проблемы в нашем коде. Мы используем Spring JDBCTemplate для доступа к БД, и find-sec-bugs кажется, что у нас повсюду есть уязвимости в SQL-инъекциях. Простейший пример выглядит следу…
21 авг '17 в 22:41
0
ответов
Как настроить подключаемый модуль отчетов maven findbugs для привязки шаблонов ошибок к нужному сайту?
Я использую плагин Findbugs Maven для создания отчета по моим проектам, в котором приводится сводная информация о найденных Findbugs проблемах. Я также использую плагины, такие как плагин find security bugs, чтобы найти дополнительные потенциальные …
18 авг '16 в 17:24
1
ответ
Найти ошибки безопасности - реальное внедрение SQL или ложное срабатывание?
Я использую FindBug вместе с плагином Find Security Bugs чтобы помочь мне найти недостатки безопасности в моем коде. Я не уверен, почему какой-то код помечен как уязвимый для внедрения SQL. Вот два примера: final StringBuilder queryString = new Stri…
26 апр '13 в 09:33
1
ответ
Найти ошибки безопасности не сканирует заводные файлы
В нашем проекте мы используем классы Groovy и Java. Мы используем плагин find-sec-bugs 1.4.3 с FindBugs 3.0.1 для сканирования исходного кода. Плагин не сообщает об ошибках безопасности в классах Groovy. Классы Java правильно сканируются. На страниц…
14 окт '15 в 03:30
0
ответов
Обнаружение утечки информации в Find Sec Bugs с помощью анализа заражений и пользовательских аннотаций
Позволяет ли поиск ошибок обнаруживать секретные источники и приемники с помощью аннотаций, как другие инструменты статического анализа, такие как Checker Framework? Прямо сейчас я вижу только источники / приемники, определяемые в конфигурационных ф…
19 сен '18 в 22:00
0
ответов
Форматирование отчета findbugs wml (включая findsecbugs) в html
Я запустил анализ findbugs для моего подключаемого плагина findsecbugs. Теперь я хочу преобразовать вывод XML в отчет HTML. я использую ./convertXmlToText -longBugCodes -html FindBugsReport20171013.xml output.html Это работает хорошо, но ни одна из …
05 дек '17 в 18:44
1
ответ
Не удалось инициализировать класс com.h3xstream.findsecbugs.taintanalysis.TaintMethodSummary
Я использую FindBugs-IDEA 1.0.0 с FindBugs 3.0.1. Моя версия Android-студии 2.1.2. Я использую FindBugs только для анализа одного файла Java (фрагмент), если это имеет значение Полная трассировка стека: java.lang.NoClassDefFoundError: Could not init…
07 июл '16 в 01:34
1
ответ
Как отметить ложноположительный результат в отчете о спотбаге
Я просмотрел документацию по spotbug https://spotbugs.readthedocs.io/en/stable/ Однако информация о ложных срабатываниях не является исчерпывающей. Пожалуйста, помогите мне с шагами, чтобы пометить определенную ошибку, сообщенную как ложно-положител…
30 авг '18 в 08:14
1
ответ
Как убрать "taint" для Findbugs "Find Bugs Security"
Я использую плагин "Find Security Bugs" для Findbugs: https://find-sec-bugs.github.io/ Многие из детекторов используют "Анализ порчи", чтобы поднять свои предупреждения. Есть ли документация о том, как удалить "порчу" из значения? Я не могу найти ни…
04 окт '17 в 18:02
1
ответ
Есть ли какой-нибудь инструмент SAST для кода Workfusion?
В настоящее время я участвую в проекте по внедрению проверок кода безопасности для ботов Workfusion. Workfusion может обрабатывать смесь кода Java и Groovy, встроенного в файлы XML или автономный код. Моя команда пытается оценить, возможно ли исполь…
13 сен '18 в 16:28
1
ответ
Простой файл Gradle с помощью Spotbugs и найти ошибки безопасности?
Есть ли у кого-нибудь базовый файл Gradle для Gradle 5.X, использующий "старую" форму записи плагина, которая использует как spotbugs, так и find-security-bugs, и что при запуске./gradlew clean build будут выполняться как ошибки spot, так и ошибки б…
14 апр '19 в 17:49
0
ответов
Как я могу запустить только определенные детекторы в find-sec-bugs
Я хотел бы запустить сканирование findsecbugs (версия CLI) для нескольких jar-файлов, и я только хочу, чтобы он проверял наличие проблем, связанных с неправильным использованием криптографических функций (таких как использование md5). Как я могу ска…
11 май '19 в 16:39
1
ответ
Использование FindSecBugs в Maven создает java.lang.OutOfMemoryError
Я новичок в Maven. Я использую Mac OSX. Я попытался построить проект, используя Maven, и это случилось правильно. Затем я использовал mvn spotbugs:spotbugs, чтобы использовать плагин spotbugs! Прошло некоторое время и скинул Exception в ветке "главн…
27 авг '19 в 13:16
0
ответов
Сборка findsecbugs локально
https://github.com/find-sec-bugs/find-sec-bugs Мне нужно создать findsecbugs локально (сделал "новый проект из системы контроля версий", используя указанную выше ссылку в IntelliJ), но получаю следующие ошибки: Error:(138, 13) java: cannot find symb…
18 апр '20 в 19:14
0
ответов
XML-отчет Spotbugs не имеет значения instanceHash при запуске с использованием плагина Gradle
Я использовал плагин FindSecBugs в Spotbugs для статического анализа безопасности моего кода. Некоторые из моих проектов построены с использованием gradle, а некоторые - с использованием maven. Я успешно протестировал maven, который дает мне отчет x…
26 сен '19 в 13:33
0
ответов
scala innerClass, find-sec-bugs PREDICTABLE_RANDOM_SCALA
Я хочу улучшить обнаружение кода PREDICTABLE_RANDOM_SCALA. methodName содержит 'token','id','csrf' и т. д. find-sec-bug существующая логика обнаружения но в scala. Исходный код scala и javap -v вы можете увидеть ниже. class PredictableRandomScala { …
15 янв '20 в 12:58
1
ответ
Как устранить предупреждение о загрязнении параметров HTTP?
Проверяя findSpecBugs предупреждения в моем приложении на основе scala, я обнаружил: Предупреждение о загрязнении параметров HTTP с сообщением: Объединение непроверенных вводимых пользователем данных в URL-адрес может позволить злоумышленнику переоп…
16 июн '20 в 13:24
0
ответов
Ложноположительный Spring LDAP из findbugs-sec-plugin
Похоже не учитывает, что Filter.toString/encodeдействительно может правильно кодировать фильтр LDAP. Так что если у меня есть флаги вроде Filter filter = blahblah; ldapTemplate.search("", filter.toString()); он будет отмечать, что этот код уязвим дл…
14 май '20 в 12:50