我們對靜態分析工具生成的用於漏洞檢測的警告有多少信任?
[英]How much can we trust to warnings generated by static analysis tools for vulnerablity detection?
我在一組用 C/C++ 編寫的庫上運行故障查找器。 我有很多由漏洞發現者生成的警告。 我的問題是,我可以在多大程度上依賴這些生成的警告? 例如,考慮 numpy 庫 ( https://github.com/numpy/numpy/blob/4ada0641ed1a50a2473f8061f4808 ...
如何改進漏洞發現者 memset 警告的代碼?
[英]How to improve code around flawfinder memset warning?
在我的代碼中,所有對memset的調用都顯示為使用flawfinder工具的警告。 在最簡單的情況下,它可以歸結為等價於 消息是 我完全理解這可以用一個簡單的副本代替,這只是一個簡化的例子。 我也了解使用 memcpy 和緩沖區溢出的潛在問題。 問題是探痕者到底要我在這里做什么? 也許像添加ass ...
如何通過 git 補丁使用探傷儀
[英]How to use flawfinder with a git patch
我想為我的合並請求使用缺陷查找器,因此只分析更改的代碼。 我看到ffectfinder支持補丁,所以我認為它真的很容易。 問題是:我無法使其與 git 補丁一起使用。 Flawfinder 確實識別出它是 git 補丁,它只掃描所需的文件,但沒有命中。 如果我在沒有 patch 參數的情況下運行故 ...
為什么缺陷查找器會報告 fopen 的問題?
[英]Why is flawfinder reporting problems with fopen?
我正在使用 FlawFinder 來查找一段 C 代碼中的潛在漏洞。 在分析中,該工具報告了這個問題: 相關的一段代碼是這樣的: 雖然我知道並非所有報告的問題都是錯誤或漏洞,但我想了解為什么會發生這種情況以及我如何可能修復它。 我嘗試在網上搜索,但我發現的都是關於競爭條件的,我不明白為什么 ...
修復(CWE-120、CWE-20)被 Flawfinder 檢測到
[英]Fix (CWE-120, CWE-20) detected by Flawfinder
我被要求使用 Flawfinder 分析一些 C 代碼: 我在第二次閱讀時收到以下警告: 我嘗試按照這個答案,修改函數如下: 但是漏洞仍然被檢測到。 我錯過了什么? 更新 #1: 我根據@4386427 的建議更新了函數,檢查了read()和malloc() : 但是什么都沒有改 ...
Flawfinder 錯誤 - 內部緩沖區溢出。 如何限制字符串輸入大小並防止溢出?
[英]Flawfinder error- internal buffer overflows. How to limit string input size and protect it from overflow?
我有以下代碼: 我運行Flawfinder並收到以下錯誤: main.cpp:48: [3] (buffer) getopt_long:一些較舊的實現不能防止內部緩沖區溢出(CWE-120、CWE-20)。 檢查安裝時的實現,或限制所有字符串輸入的大小。 如何限制字符串輸入大小? ...
用於字符數組 C++ 的 Flawfinder (CWE-119!/CWE-120)
[英]Flawfinder (CWE-119!/CWE-120) for char array C++
我有一個這樣定義的char數組 當我對命中運行Flawfinder掃描時,我得到一個說: 我知道我必須在需要時進行檢查以確保我的代碼不會出現異常,但我們有什么辦法可以解決這個問題(以其他方式定義一個 char 數組)並使Flawfindr output 沒有任何影響? 更新這是 function ...
Flawfinder 報告的一個缺陷,但我認為它沒有意義
[英]A flaw reported by Flawfinder, but I don't think it makes sense
該問題特定於 Flawfinder 報告的模式: 片段 我發現 Codacy(因此是探傷者)在兩篇文章中都報告了這樣的問題: Check buffer boundaries if used in a loop including recursive loops (CWE-120, CWE-2 ...
Python:為什么探傷模塊在 cmd windows 中不起作用?
[英]Python: Why flawfinder module is not working in cmd windows?
Python flawfinder模塊在 bash 中工作,但在 Windows 命令行中工作。 以下是我遵循的步驟: Python 安裝路徑-C/Users/xyz/AppData/Local/Programs/Python/Python37-32/python pip install fl ...
read() - 如果在包含遞歸循環的循環中使用,則檢查緩沖區邊界
[英]read() - Check buffer boundaries if used in a loop including recursive loops
我有這個代碼並用 Flawinder 運行它,我在 read() 函數上得到這個輸出: 如果在包含遞歸循環的循環中使用,請檢查緩沖區邊界 任何人都可以看到問題嗎? ...