1
我們最近開始使用Veracode進行漏洞測試。有沒有辦法有選擇地排除所有第三方庫,並只將掃描的焦點集中在我們的內部庫代碼上?避免在Veracode中掃描第三方庫
A
回答
0
嗨:您的問題的答案取決於您正在掃描的應用程序的語言編寫。
- Java:Veracode尊重WAR文件結構約定,並將/ lib目錄中的JAR視爲第三方代碼。如果您訂閱了該服務,但它們包含在軟件組合分析結果中,但我們不會報告駐留在此目錄中代碼中的漏洞。
- C/C++/.NET:默認情況下只掃描頂層可執行文件。靜態引擎也將遵循從頂級可執行文件到第三方庫的代碼路徑(如果它們存在),但不會檢查第三方庫的可能部分是否存在缺陷。如果您想要掃描第三方相關庫中的所有可能路徑以查找缺陷,可以進入高級模式並單擊顯示依賴關係。
- PHP/JavaScript/Android/iOS /其他語言:無法排除這些語言的第三方庫。
如果您還有其他問題,請聯繫Veracode支持部門,他們可以爲您提供更多幫助。
+0
謝謝蒂姆,我們的應用程序在.NET中。我可以在Show Dependencies下面去掉第三方DLL – user6126683
相關問題
- 1. 避免通過Veracode的靜態掃描掃描第三方庫
- 2. ASP.NET Veracode的掃描問題
- 3. Veracode的掃描爲Java
- 4. 避免全表掃描
- 5. 避免全表掃描
- 6. 避免掃描EntireRichtextbox突出
- 7. 如何避免主表中的掃描
- 8. 如何避免在數據庫中完成表掃描?
- 9. 避免第三方腳本的window.location.reload()
- 10. 避免自動提交表格掃描通條碼掃描器
- 11. 避免全掃描上查詢
- 12. 避免完整掃描子查詢
- 13. MYSQL分區避免全掃描表
- 14. 避免不必要的表掃描
- 15. 如何避免第三方庫帶來的CSS影響?
- 16. 如何檢測和避免在第三方庫中使用私有API
- 17. 避免在MySQL中進行全表掃描
- 18. 避免在Oracle中進行全表掃描
- 19. 如何通過避免掃描空值來減少索引掃描
- 20. 替代對System.exit(1)中的Java通過Veracode的掃描
- 21. 避免將第三方DLL複製到調試文件夾中
- 22. 如何跳過第三方jar的webflow定義(flow.xml)掃描
- 23. 如何避免在此mysql查詢上進行全表掃描?
- 24. 避免使用第三方寶石是否正確?
- 25. 如何避免複製第三方C++ dll?
- 26. 如何避免第三方框架之間的重複符號
- 27. 加密通信 - 避免重新發送第三方消息
- 28. 我們如何避免安裝第三方組件?
- 29. 如何避免第三方CSS影響當前CSS?
- 30. MonoTouch中的第三方庫?
您是否閱讀過關於veracode的文檔?你發現了什麼? 也不排除你使用過的圖書館可能意味着你會得到一個誤報? –
該文檔對這個沒有幫助。另外,我同意這些庫有影響,但我希望單獨瞭解我們代碼庫的漏洞。 – user6126683