• 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏吧

标签:coverity

c/c++

使用SAST工具时,为什么必须对编译语言(例如C / C++)使用 “build wrapper”?

使用SAST工具时,为什么必须对编译语言(例如C / C++)使用 “build wrapper”?
我是SAST工具的新手。运行这些工具并找出有时显而易见的错误,但我们只是没有注意到,真是太神奇了。 虽然我知道如何运行这些工具,但我仍然要记住许多问题,这些不可思议的工具如何在后台运行。 例如,在使用SonarQube或Coverity扫描C / C++源代码时,我们必须使用build-wrapper,以便该工具可以监视构建过程。但是,对于其他解释语言,这些……继续阅读 »

coverity

用Gradle进行Travis CI + Coverity扫描

用Gradle进行Travis CI + Coverity扫描
我已经成功setup a project使用Travis CI进行构建和测试。现在,我正在尝试添加Coverity Scan。 我创建了一个名为coverity_scan的分支,并将其设置为用于Coverity构建。将提交推送到该分支后,我可以在Travis CI构建控制台中看到Coverity工具开始执行其工作: Coverity Scan analysi……继续阅读 »

coverity

Tainted_source JAVA

Tainted_source JAVA
我用Coverity分析了Java中某些服务的代码,它们在控制器中引发了以下安全问题:“ tainted_source:将此功能作为框架入口点输入。参数bodyparams被污染,因为它来自http请求。”处理此类参数的正确方法是什么? 解决方案如下: 您的问题中显示的输出仅是完整调查结果的一部分。它显示了为什么service_id被认为是“受污染……继续阅读 »