我需要使用BaseDetectorTest从Spotbugs扩展库中的一个提供 我从( FindBugs Test Utility )添加了 maven 依赖项 但它不包括 BaseDetectorTest 类文件(一旦 Maven 更新,jar 文件被添加到外部库 - 但不是类文件)。 我想知道 ...
我需要使用BaseDetectorTest从Spotbugs扩展库中的一个提供 我从( FindBugs Test Utility )添加了 maven 依赖项 但它不包括 BaseDetectorTest 类文件(一旦 Maven 更新,jar 文件被添加到外部库 - 但不是类文件)。 我想知道 ...
最近我下载了 findsecbugs-plugin-1.11.0.jar 以便在 spotbugs 中使用它。 我将这个 jar 文件复制到项目 spotbugs(4.1.4) 的文件夹插件中。 我使用 ant 执行 spotbugs。当我运行 ant 目标时,我收到以下消息: 你知道我需要哪些额 ...
如下图所示,第 18 行显示扫描了一个硬编码漏洞。 但是当我在其他文件中导入这个标记的模块时,它没有报告这个问题。 奇怪的是,当我删除标记的模块时,它也报告了这个问题。 请帮我解决这个问题。 ...
在基于 scala 的应用程序中检查findSpecBugs警告时,我遇到了: HTTP 参数污染警告消息:将未经验证的用户输入连接到 URL 可以允许攻击者覆盖请求参数的值。 当我将 URL 与从数据库中获取的值连接时,会出现此问题。 知道如何清理或验证该值,还是有其他方法可以解决此问题? ...
看起来它没有考虑到Filter.toString/encode实际上可以正确编码 LDAP 过滤器。 所以如果我有一个类似的标志 它将标记此代码易受 LDAP 注入的影响,而它不应该。 如何使 findsec-bugs-plugin 不将这种用法标记为问题? ...
我是Maven的新手,正在使用Mac OSX 。 我试图使用Maven来构建项目,但它发生得很好。 然后我使用了mvn spotbugs:spotbugs来使用spotbugs插件! 花了一段时间,在线程“ main”中引发了异常 java.lang.OutOfMemoryErr ...
我想针对多个jar运行findsecbugs扫描(CLI版本),我只希望它检查与加密功能使用不当有关的问题(例如使用md5)。 如何告诉findsecbugs仅使用我定义的检测器? 谢谢! ...
是否有人使用“旧”形式的插件条目为gradle 5.X提供了基本的gradle文件,该文件同时使用了Spotbug和Find-security-bug,并且在运行./gradlew clean build时将同时执行Spot Bug和安全漏洞? 我可以使现场Bug正常工作(为什么将它们重命 ...
目前,我正在参与一个为Workfusion机器人实施安全代码审查的项目。 Workfusion可以处理嵌入在XML文件或独立代码中的Java和Groovy代码的混合体。 我的团队正在尝试评估是否可以使用任何免费/开源的静态应用程序安全工具。 我目前正在探索为Spotbugs创建插件的可 ...
我浏览了 spotbug 的文档https://spotbugs.readthedocs.io/en/stable/ 然而,关于误报的信息并不全面。 请帮助我将某些报告的错误标记为误报的步骤,以便这些错误不再是报告的一部分。 PS - 在我们的案例中不能使用 SuppressFBWarnings。 ...
我正在为Findbugs使用“查找安全性Bug”插件: https ://find-sec-bugs.github.io/ 许多检测器使用“污染分析”来发出警告。 是否有关于如何从值中删除“污点”的文档? 我在他们的网站上找不到任何与此相关的文档,并且一直在寻找他们的源代码,无 ...
我们将find-sec-bug和findbugs一起使用,以发现代码中的潜在问题。 我们使用Spring JDBCTemplate进行数据库访问,而find-sec-bugs似乎认为我们到处都有SQL注入漏洞。 最简单的示例如下: 这导致它认为它很容易受到SQL注入的攻击,但显然不是 ...
我正在使用FindBugs-IDEA 1.0.0和FindBugs 3.0.1。 我的Android Studio版本是2.1.2。 我只使用FindBugs来分析1个单个Java文件(一个片段) 完整的堆栈跟踪: ...
如何编写自定义检测器以查找sec bug插件? 如果有人编写一个示例检测器来检测单词的使用,这将对您有所帮助。 提前致谢 ...
在我们的项目中,我们同时使用Groovy和Java类。 我们使用带有FindBugs 3.0.1的find-sec-bugs插件1.4.3来扫描源代码。 该插件未报告Groovy类的安全错误。 正确扫描了Java类。 项目页面上清楚地表明该插件可与Groovy一起使用。 在此测 ...
我正在使用FindBug和插件Find Security Bugs来帮助我查找代码中的安全漏洞。 我不确定为什么某些代码被标记为易受SQL注入攻击。 这是两个示例: 是误报还是我错过了什么? 如果我对问题的理解正确,那么使用createQuery()和setX()应该足够了吗? ...