避免在 Veracode 中扫描第三方库
Avoid scanning third party libraries in Veracode
我们最近开始使用 Veracode 进行漏洞测试。有没有办法有选择地排除所有第三方库并仅将扫描重点放在我们的内部库代码上?
您好:您问题的答案取决于您正在扫描的应用程序的编写语言。
- Java:Veracode 遵守 WAR 文件结构约定,并将 /lib 目录中的 JAR 视为第三方代码。如果您订阅该服务,它们将包含在软件组合分析结果中,但我们不会以其他方式报告驻留在该目录代码中的漏洞。
- C/C++ / .NET:默认情况下只会扫描顶级可执行文件。如果存在第三方库,静态引擎还将遵循从顶级可执行文件到第三方库的代码路径,但不会检查第三方库的 所有 可能部分是否存在缺陷。如果您想要扫描第三方依赖库中所有可能的路径以查找缺陷,您可以进入高级模式并单击显示依赖项。
- PHP/JavaScript/Android/iOS/other 种语言:无法排除这些语言的第三方库。
如果您有其他问题,请联系 Veracode 支持,他们可以进一步帮助您。
我们最近开始使用 Veracode 进行漏洞测试。有没有办法有选择地排除所有第三方库并仅将扫描重点放在我们的内部库代码上?
您好:您问题的答案取决于您正在扫描的应用程序的编写语言。
- Java:Veracode 遵守 WAR 文件结构约定,并将 /lib 目录中的 JAR 视为第三方代码。如果您订阅该服务,它们将包含在软件组合分析结果中,但我们不会以其他方式报告驻留在该目录代码中的漏洞。
- C/C++ / .NET:默认情况下只会扫描顶级可执行文件。如果存在第三方库,静态引擎还将遵循从顶级可执行文件到第三方库的代码路径,但不会检查第三方库的 所有 可能部分是否存在缺陷。如果您想要扫描第三方依赖库中所有可能的路径以查找缺陷,您可以进入高级模式并单击显示依赖项。
- PHP/JavaScript/Android/iOS/other 种语言:无法排除这些语言的第三方库。
如果您有其他问题,请联系 Veracode 支持,他们可以进一步帮助您。