Нello!我担心Checkmarx扫描的可靠性。
我创建了一个只有两个文件的checkmarx项目:
我已使用beautifier.io从library.formatted.js
生成library.minified.js
。没有其他更改。除了空格格式更改外,这两个文件完全相同。
有关,checkmarx对这两个相似文件感到不同的安全威胁。特别是,它在缩小版本中感知到了几项高风险项目,而在格式化版本中则没有感知到高风险项目。
如果两个javascript文件格式相同,那么为什么checkmarx会在每个文件中看到不同的安全威胁?
如果空白(JS解释器将忽略的一个因素)影响评估,我如何相信checkmarx的判断?
答案 0 :(得分:1)
我们知道,空格的改变确实会在某些情况下影响结果,并且我们正在不断地审查改善分析的方法。
获取您的意见对于解决这些问题将非常有帮助,因此,如果可以的话,请打开包含这些示例的Checkmarx支持票务,我们将竭尽所能。