【发布时间】:2019-07-05 05:55:46
【问题描述】:
【问题讨论】:
-
我感觉这是误报,它通过扫描以
key开头的字段来检测这些行 -
Fortify 因需要调整规则以停止标记安全代码而臭名昭著。所以,是的 - 这似乎是其中一种情况。
标签: javascript jquery pdf mozilla fortify
【发布时间】:2019-07-05 05:55:46
【问题描述】:
Fortify 使用了语义分析器,它对单词“key”进行了 grep。因此,这说明在这种情况下为 key 的值是变量名。 Fortify 将“key”这个词识别为加密密钥。所以你可以把这个案例变成误报。
fortify 的语义分析器因误报而臭名昭著。如果您想要更自动化的解决方案,Fortify 不是合适的工具。
【讨论】:
我也遇到过这个问题。每当 fortify 扫描应用程序时,它会查找一些特定字段,如“密钥”或“密码”,其分析器将开始抱怨“硬编码加密密钥”或“密码管理:硬编码密码”。
请参阅下面的link 了解更多信息。
【讨论】: