Описание тега sast

Вопросы с тегом

0 ответов

Какие области мне следует изучить больше, чтобы понять внутреннюю работу инструментов SAST

Я использовал инструменты SAST, такие как HCL Appscan, для статического анализа кода с точки зрения безопасности приложений. Меня больше интересует понимание различных методов / алгоритмов, на основе которых разработаны и работают такие инструменты …

static-code-analysis sast

18 апр '21 в 17:53

1 ответ

Как настроить анализатор phpcs-security-audit в GitLab?

Я пытаюсь использовать включив шаблон SAST GitLab . Он генерирует отчет, как и ожидалось, но отчет заполнен предупреждениями из библиотек и конкретными предупреждениями, которые я хотел бы игнорировать, чтобы отчет был полезным. Если бы я побежал ph…

gitlab gitlab-ci phpcs sast

20 апр '21 в 12:41

1 ответ

Как интегрировать сканирование Veracode SAST и DAST в конвейер Gitlab CI/CD

Я пытаюсь интегрировать сканирование SAST и DAST в конвейер Gitlab CI / CD. Вот мой gitlab-ci.yml: Статический анализ сканирования трубопровода: изображение: veracode / pipeline-scan: последний этап: только Security_Scan: - Скрипт ветки функции: - z…

gitlab-ci veracode gitlab-pipelines sast

23 апр '21 в 21:23

0 ответов

Проблема SAST - неправильная авторизация доступа к ресурсам

Я использую инструмент безопасности Checkmarx для сканирования своего кода. Это вызывает ошибку неправильной авторизации доступа к ресурсам в репозитории. @Query(value="выбрать * из таблицы_ сопоставления, где project_id =:projectId", nativeQuery=tr…

sast

04 май '21 в 11:14

0 ответов

Сканер безопасности приложений

Я работаю над проектом по разработке сканера SAST(статическое тестирование безопасности приложений). Могут ли люди предложить лучшие практики для более быстрого чтения базы кода? У меня было несколько идей, как использовать AST или BCEL. Пожалуйста,…

security findbugs brakeman sast

11 май '21 в 15:59

1 ответ

Обрабатывать различные ветки Git во время сканирования кода в Checkmarx?

У меня разные ветки кода в GIT? Когда я запускаю checkmarx в этих ветках, я не узнаю, из какой ветки выполняется сканирование. Есть ли способ, которым checkmarx также может определить, из какой ветви было запущено сканирование?

git-branch gitlab-ci-runner checkmarx sast

19 май '21 в 15:54

0 ответов

Как мне выполнить оценку рисков для приложений FoxPro? БЕЗОПАСНОСТЬ ПРИЛОЖЕНИЯ

Надеюсь, все в порядке. В моей компании много приложений FoxPro, и я пытаюсь найти способ оценить их риски. Я думал о проведении анализа исходного кода (SAST), но ни один из имеющихся на рынке инструментов SAST не может сканировать код FoxPro. Моя о…

security penetration-testing sast application-security

12 июн '21 в 02:03

0 ответов

Jenkins Fortify - фильтр подавления уязвимости XXE

Я интегрировал Fortify SCA в наш конвейер Jenkins. Один из владельцев продукта привел веские основания для подавления уязвимости XXE JAVA для будущего Fortify Scan. Кто-нибудь знает, как подавить уязвимость в сценарии Jenkin для подавления уязвимост…

security jenkins fortify suppression sast

06 июл '21 в 16:14

0 ответов

Автоматическое сканирование несуществующего репозитория Bitbucket

Поскольку мы используем fortify для статического анализа кода, мы столкнулись с проблемой, заключающейся в том, что кодовая база не существует в нашем репозитории bitbucket, и мы сканируем вручную, копируя и загружая файлы .fpr на передний сервер fo…

bitbucket bitbucket-pipelines fortify sast fortify-source

28 июл '21 в 12:31

0 ответов

Не удалось найти статический анализатор кода Objective-C++

Я ищу инструмент анализа рисков, похожий на дефектоскоп, но способный работать с проектом Objective-C++ или Objective-C для MacOS, я наткнулся на MobSF, Clang и infer, но ни один из них не кажется достаточно надежным для этой задачи. Я хотел бы узна…

gitlab continuous-integration objective-c++ static-code-analysis sast

11 авг '21 в 22:36

1 ответ

PowerShell SAST / OWASP 10

В настоящее время я разрабатываю сценарий PowerShell с 10 тыс. Строк кода, подключаемый к базе данных SQL. Хотя рекомендуется использовать плагины в среде IDE, например, для Java или C#, для сканирования кода (плагин Resharper/ Fortify или Sonarcube…

powershell security sonarqube fortify sast

20 авг '21 в 16:57

0 ответов

Gitlab SAST с зеркальным репо

У нас есть репозиторий bitbucket, который зеркально отображается в Gitlab. Теперь мы хотим включить плагин SAST для go (gosec): https://docs.gitlab.com/ee/user/application_security/sast/ Поскольку импорт в коде go по-прежнему указывает на битбакет, …

gitlab gitlab-ci bitbucket bitbucket-api sast

27 авг '21 в 08:28

1 ответ

MobSF Analyzer не работает на Gitlab-ci

Я пытаюсь настроить MobSF SAST в Gitlab-ci, и у меня есть несколько проблем. Я выполнил инструкции в документации Gitlab и в репозитории MobSF Gitlab. Однако когда я добавляю: На мой .gitlab-ci.yml. Я получаю сообщение об ошибке yml о том, что ему н…

continuous-integration gitlab-ci gitlab-ci-runner sast

17 сен '21 в 20:00

1 ответ

Можно ли использовать SonarQube для SAST для приложения dot net core версии 3.2?

Можем ли мы использовать SonarQube для статического тестирования безопасности приложений (SAST) для приложения dot net core 3.2? Если нет, то какие могут быть альтернативы. Я имею опыт работы с Java и знаю, что плагины, такие как FindSecBugs, могут …

jenkins .net-core sonarqube sast

20 окт '21 в 11:20

1 ответ

Сравнение характеристик и цен на платформы для непрерывной проверки / статического тестирования безопасности приложений

Есть ли репрезентативное сравнение основных платформ непрерывного контроля и статического тестирования безопасности приложений (SAST), таких как SonarQube, Coverity, CodeScene, TeamScale и т. Д.?

sonarqube coverity sast continuous-inspection

28 окт '21 в 13:05

0 ответов

Есть ли какой-нибудь инструмент SAST, поддерживающий Ballerina?

Я проверяю возможность перехода на Ballerina в качестве новой стратегии для нашего текущего решения wso2. Есть несколько плюсов и минусов. Одна из серьезных проблем, которые меня беспокоят, - это отсутствие поддержки SAST. Может ли кто-нибудь подтве…

ballerina sast

15 ноя '21 в 12:37

0 ответов

Сканирование Blackduck - как исключить определенный артефакт?

Я запускаю сканирование blackduck в проекте maven. Есть ли способ исключить конкретную зависимость из сканирования? Например, у меня есть эта зависимость в pom проекта, которую я хотел бы исключить из загрузки и сканирования. <dependency> <…

sast

26 ноя '21 в 18:22

1 ответ

Sonar Cube- просмотр кода не отображается для исправления ошибок

Я не могу видеть фрагменты кода для проблем, о которых сообщается в кубе сонара. Отображается сообщение «если код не отображается из-за настроек безопасности, исходный код не может быть отображен». Кто-нибудь знает, как включить просмотр кода

sonarqube sast

30 дек '21 в 09:30

0 ответов

Невозможно выполнить сканирование кода безопасности в конвейере GitLab для проекта SharePoint 2016

В моем GitLab CI: include: - template: Security/SAST.gitlab-ci.yml - template: DAST.gitlab-ci.yml stages: - test - dast sast: stage: test tags: - docker сканирование кода безопасности завершилось ошибкой: [FATA] [security-code-scan] [2022-01-11T13:4…

sharepoint gitlab sast security-code-scan

11 янв '22 в 19:51

0 ответов

Проблемы с покрытием для пути к файловой системе, имени файла или манипулирования URI в C#, .NET Core

Мы выполнили сканирование Coverity в нашем коде и обнаружили проблему, связанную с «путем к файловой системе, именем файла или манипулированием URI», что является серьезной проблемой безопасности. Это код, который у нас был сначала: var xxxFilesPath…

c# .net asp.net-core coverity sast

11 янв '22 в 10:35