当只有空格不同时,Checkmarx 分析会有所不同
Checkmarx analysis varies when only whitespace varies
你好!我担心 checkmarx 扫描的可靠性。
我创建了一个只有两个文件的 checkmarx 项目:
- library.minified.js
- library.formatted.js
我已经使用 beautifier.io 从 library.minified.js 生成了 library.formatted.js。没有其他变化;这两个文件除了空格格式更改外完全相同。
令人担忧的是,checkmarx 认为这两个相似文件存在不同的安全威胁。特别是,它在缩小版中感知到几个高危项,而在格式化版中没有感知到高危项。
如果两个 javascript 文件除了格式不同外,为什么 checkmarx 会在每个文件中感知到不同的安全威胁?
如果空格这个 JS 解释器会忽略的因素影响评估,我如何相信 checkmarx 的判断?
我们知道在某些情况下,空格的变化确实会影响结果,并且我们会不断审查改进分析的方法。
获得您的意见对于解决这些问题非常有帮助,因此如果您可以的话,请通过这些示例向 Checkmarx 支持部门开具票证,我们将尽力提供帮助。
你好!我担心 checkmarx 扫描的可靠性。
我创建了一个只有两个文件的 checkmarx 项目:
- library.minified.js
- library.formatted.js
我已经使用 beautifier.io 从 library.minified.js 生成了 library.formatted.js。没有其他变化;这两个文件除了空格格式更改外完全相同。
令人担忧的是,checkmarx 认为这两个相似文件存在不同的安全威胁。特别是,它在缩小版中感知到几个高危项,而在格式化版中没有感知到高危项。
如果两个 javascript 文件除了格式不同外,为什么 checkmarx 会在每个文件中感知到不同的安全威胁?
如果空格这个 JS 解释器会忽略的因素影响评估,我如何相信 checkmarx 的判断?
我们知道在某些情况下,空格的变化确实会影响结果,并且我们会不断审查改进分析的方法。
获得您的意见对于解决这些问题非常有帮助,因此如果您可以的话,请通过这些示例向 Checkmarx 支持部门开具票证,我们将尽力提供帮助。