标签[find-sec-bugs] - 堆栈内存溢出

Maven仓库提供的jar文件不包含class文件 - The jar file provided by Maven repository does not include class files

我需要使用BaseDetectorTest从Spotbugs扩展库中的一个提供我从（ FindBugs Test Utility ）添加了 maven 依赖项但它不包括 BaseDetectorTest 类文件（一旦 Maven 更新，jar 文件被添加到外部库 - 但不是类文件）。我想知道 ...

如何将 find-sec-bugs 集成到 spotbugs 中？ - How to integrate find-sec-bugs in spotbugs?

最近我下载了 findsecbugs-plugin-1.11.0.jar 以便在 spotbugs 中使用它。我将这个 jar 文件复制到项目 spotbugs(4.1.4) 的文件夹插件中。我使用 ant 执行 spotbugs。当我运行 ant 目标时，我收到以下消息：你知道我需要哪些额 ...

findsecbugs 报告导入库代码段漏洞的原因 - Reason why findsecbugs report the vulnerabilities in the code segment of the imported library

如下图所示，第 18 行显示扫描了一个硬编码漏洞。但是当我在其他文件中导入这个标记的模块时，它没有报告这个问题。奇怪的是，当我删除标记的模块时，它也报告了这个问题。请帮我解决这个问题。 ...

如何解决 HTTP 参数污染警告？ - How to resolve HTTP Parameter Pollution warning?

在基于 scala 的应用程序中检查findSpecBugs警告时，我遇到了： HTTP 参数污染警告消息：将未经验证的用户输入连接到 URL 可以允许攻击者覆盖请求参数的值。当我将 URL 与从数据库中获取的值连接时，会出现此问题。知道如何清理或验证该值，还是有其他方法可以解决此问题？ ...

来自 findbugs-sec-plugin 的误报 Spring LDAP - False positive Spring LDAP from findbugs-sec-plugin

看起来它没有考虑到Filter.toString/encode实际上可以正确编码 LDAP 过滤器。所以如果我有一个类似的标志它将标记此代码易受 LDAP 注入的影响，而它不应该。如何使 findsec-bugs-plugin 不将这种用法标记为问题？ ...

在Maven中使用FindSecBugs会引发java.lang.OutOfMemoryError - Using FindSecBugs in Maven throws java.lang.OutOfMemoryError

我是Maven的新手，正在使用Mac OSX 。我试图使用Maven来构建项目，但它发生得很好。然后我使用了mvn spotbugs：spotbugs来使用spotbugs插件！花了一段时间，在线程“ main”中引发了异常 java.lang.OutOfMemoryErr ...

如何在find-sec-bug中仅运行定义的检测器 - How can I run only defined detectors in find-sec-bugs

我想针对多个jar运行findsecbugs扫描（CLI版本），我只希望它检查与加密功能使用不当有关的问题（例如使用md5）。如何告诉findsecbugs仅使用我定义的检测器？谢谢！ ...

使用Spotbug的简单gradle文件并查找安全性bug？ - Simple gradle file using spotbugs and find security bugs?

是否有人使用“旧”形式的插件条目为gradle 5.X提供了基本的gradle文件，该文件同时使用了Spotbug和Find-security-bug，并且在运行./gradlew clean build时将同时执行Spot Bug和安全漏洞？我可以使现场Bug正常工作（为什么将它们重命 ...

是否有用于Workfusion代码的SAST工具？ - Is there any SAST tool for Workfusion code?

目前，我正在参与一个为Workfusion机器人实施安全代码审查的项目。 Workfusion可以处理嵌入在XML文件或独立代码中的Java和Groovy代码的混合体。我的团队正在尝试评估是否可以使用任何免费/开源的静态应用程序安全工具。我目前正在探索为Spotbugs创建插件的可 ...

如何在 spotbug 报告中标记误报 - How to mark false positive in spotbug report

我浏览了 spotbug 的文档https://spotbugs.readthedocs.io/en/stable/ 然而，关于误报的信息并不全面。请帮助我将某些报告的错误标记为误报的步骤，以便这些错误不再是报告的一部分。 PS - 在我们的案例中不能使用 SuppressFBWarnings。 ...

如何删除Findbugs的“污点”“ Find Security Bugs” - How to remove “taint” for Findbugs “Find Security Bugs”

我正在为Findbugs使用“查找安全性Bug”插件： https ://find-sec-bugs.github.io/ 许多检测器使用“污染分析”来发出警告。是否有关于如何从值中删除“污点”的文档？我在他们的网站上找不到任何与此相关的文档，并且一直在寻找他们的源代码，无 ...

来自find-sec-bug的SQL注入的误报 - False positives for SQL injection from find-sec-bugs

我们将find-sec-bug和findbugs一起使用，以发现代码中的潜在问题。我们使用Spring JDBCTemplate进行数据库访问，而find-sec-bugs似乎认为我们到处都有SQL注入漏洞。最简单的示例如下：这导致它认为它很容易受到SQL注入的攻击，但显然不是 ...

无法初始化com.h3xstream.findsecbugs.taintanalysis.TaintMethodSummary类 - Could not initialize class com.h3xstream.findsecbugs.taintanalysis.TaintMethodSummary

我正在使用FindBugs-IDEA 1.0.0和FindBugs 3.0.1。我的Android Studio版本是2.1.2。我只使用FindBugs来分析1个单个Java文件（一个片段）完整的堆栈跟踪： ...

如何编写自定义检测器以查找sec bug插件？ - How to write custom detector for find sec bug plugin?

如何编写自定义检测器以查找sec bug插件？如果有人编写一个示例检测器来检测单词的使用，这将对您有所帮助。提前致谢 ...

查找安全错误不会扫描常规文件 - find security bugs does not scan groovy files

在我们的项目中，我们同时使用Groovy和Java类。我们使用带有FindBugs 3.0.1的find-sec-bugs插件1.4.3来扫描源代码。该插件未报告Groovy类的安全错误。正确扫描了Java类。项目页面上清楚地表明该插件可与Groovy一起使用。在此测 ...

查找安全错误-真正的SQL注入还是误报？ - Find Security Bugs - Real SQL injection or false positive?

我正在使用FindBug和插件Find Security Bugs来帮助我查找代码中的安全漏洞。我不确定为什么某些代码被标记为易受SQL注入攻击。这是两个示例：是误报还是我错过了什么？如果我对问题的理解正确，那么使用createQuery()和setX()应该足够了吗？ ...