嗨:您的问题的答案取决于您正在扫描的应用程序所用的语言。
- Java:Veracode遵守WAR文件结构约定,并将/ lib目录中的JAR视为第三方代码。如果您订阅了该服务,它们将包含在软件组合分析结果中,但我们不会报告驻留在此目录中的代码中的漏洞。
- C / C ++ / .NET:默认情况下,只扫描顶级可执行文件。静态引擎还将遵循从顶级可执行文件到第三方库(如果存在)的代码路径,但不会检查第三方库的所有可能部分是否存在缺陷。如果想要扫描第三方从属库中的所有可能路径以查找缺陷,您可以进入高级模式并单击显示依赖关系。
- PHP / JavaScript / Android / iOS /其他语言:无法排除这些语言的第三方库。
如果您还有其他问题,请联系Veracode支持,他们可以为您提供进一步的帮助。