- 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏吧
我是SAST工具的新手。运行这些工具并找出有时显而易见的错误,但我们只是没有注意到,真是太神奇了。
虽然我知道如何运行这些工具,但我仍然要记住许多问题,这些不可思议的工具如何在后台运行。
例如,在使用SonarQube或Coverity扫描C / C++源代码时,我们必须使用build-wrapper,以便该工具可以监视构建过程。但是,对于其他解释语言,这些……继续阅读 »
我已经成功setup a project使用Travis CI进行构建和测试。现在,我正在尝试添加Coverity Scan。
我创建了一个名为coverity_scan的分支,并将其设置为用于Coverity构建。将提交推送到该分支后,我可以在Travis CI构建控制台中看到Coverity工具开始执行其工作:
Coverity Scan analysi……继续阅读 »
我用Coverity分析了Java中某些服务的代码,它们在控制器中引发了以下安全问题:“ tainted_source:将此功能作为框架入口点输入。参数bodyparams被污染,因为它来自http请求。”处理此类参数的正确方法是什么?
解决方案如下:
您的问题中显示的输出仅是完整调查结果的一部分。它显示了为什么service_id被认为是“受污染……继续阅读 »
更新:在Caleb的答案中查看解决方案
我正在尽力使Coverity可以用于我的构建,但到目前为止收效甚微。
首先是细节:
我的项目由Mill Java库运行(没有Web或精美的容器),使用Gradle
构建的仅编译依赖项很少
生产代码是用Java和Kotlin编写的
完整项目可在github上找到:https://github.com/ddimtiro……继续阅读 »
请找到我的代码段。
@RequestMapping(value="/abc" , Method=RequetMethod.GET)
public void xxx(@Requestparam("docId") final String docId , @Requestparam("archieveId") final String archieveI……继续阅读 »
我在Github上做了一个公共(public)项目,我想将它连接到Travis的Coverity。这是我的世界与伪造的mod。
我的.treavis.yml如下所示:
language: java
jdk:
- openjdk7
- oraclejdk7
before_install:
- chmod +x gradlew
instal……继续阅读 »
