【问题标题】:Use of Hard-coded Password on ReactPropTypesSecret.js - Veracode在 ReactPropTypesSecret.js 上使用硬编码密码 - Veracode
【发布时间】:2020-10-06 15:01:40
【问题描述】:

我正在尝试通过 OpenShift 部署使用“create-react-app”制作的 React 应用程序,管道的步骤之一是 Veracode 分析。 在这一点上,我的管道因“使用硬编码密码”而失败,源查看器向我显示了这个文件,“ReactPropTypesSecret.js”,它有下一行;

var ReactPropTypesSecret = "SECRET_DO_NOT_PASS_THIS_OR_YOU_WILL_BE_FIRED";

module.exports = ReactPropTypesSecret;

我不知道如何解决它...

【问题讨论】:

    标签: reactjs react-proptypes veracode


    【解决方案1】:

    硬编码密码发现具有挑战性,因为扫描程序必须根据启发式方法对哪些变量可能实际包含密码做出最佳判断。有时这会导致扫描仪猜错。

    (我猜这个文本的实际原因类似于this Reddit post。)

    假设您正在进行沙盒扫描,处理来自 Veracode 的此类警告的方法是发送至 propose a mitigation and get someone to approve it(取决于您的组织,可能是您团队中的某个人或安全人员)。缓解措施获得批准后,下一次扫描将显示该线路具有已批准的缓解措施,并且不会导致扫描使管道失败。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2016-03-22
      • 2012-10-03
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多