在检查我的veracode问题时,我在一个类文件中发现了CWE 259 Use of Hard-coded Password。在检查该文件时,文件的第一行对此漏洞负责,这是我的程序包名称。谁能告诉我为什么会这样,或者这是Veracode扫描逻辑的某些缺陷。
在此类文件中,它们是打印单词“ password”的位置。作为预防措施,我尝试通过注释这些行并再次对其进行扫描。但问题出在同一行。
打包com.name.ta.etc.cse;
答案 0 :(得分:2)
MITRE CWE 259的页面确切指定了漏洞的含义并提供了示例,并提供了一些建议以纠正或缓解应用程序中的漏洞。
Veracode或SonarQube之类的代码检查工具也可以标记误报(它们可以检测到该漏洞,但不存在)。我有一个与Sonar一起举报此问题的案例,其中我有一个静态最终变量(即常量),其名称中带有单词 PASSWORD ,而Sonar认为这是实际的密码,而实际上它是从属性中找到密码的键。
根据您的描述, 可能 在这里是这种情况(极端条件,因为您没有提供足够的代码来判断)。如果您可以通过将密码一词更改为其他密码来重构代码,而又不更改底层逻辑,也无需破坏传入或传出的身份验证,那么在这种情况下最有可能。
答案 1 :(得分:0)
veracode中没有缺陷。其扫描正确。如果找到“ pass”,“ paswd”或“ password”之类的任何关键字,则会将其提升为“ Flaw”,因此您必须强制删除/替换此类关键字才能解决它。 删除/替换关键字,再次扫描您的应用程序并检查。
在不将密码存储为纯文本之前,没有真正的安全问题。