问题描述
一般: 要扫描的代码是 .java 文件 (Java EE),依赖项作为单独的 JAR 提供
目标: 我如何为 checkmarx 提供所有必需的 Java 依赖项来构建项目以获得尽可能健全和完成扫描?我对检测依赖项本身的问题不感兴趣,也不希望这些问题包含在 checkmarx 报告中。
为什么: 没有依赖关系的扫描没有返回任何结果,这对于代码库的大小和复杂性来说有点不寻常。我在本地拥有所有依赖项,可以在我的 IDE(想法)中构建项目。当我压缩文件夹并通过 Web 界面将其上传以进行新扫描时,我认为无法告诉 Chekmarx 有关依赖项(CLI 和 maven 插件只有在扫描中包含或排除文件和目录的选项)。我没有使用 maven checkmarx 插件,因为它需要 Checkmarx 扫描仪无法访问的资源(包括依赖项)。
我目前正在探索的方法是将依赖项分解到项目源文件夹中,以便解析导入并且 Checkmarx 可以构建项目。然而,一些依赖 JAR 包含 java 源文件,其他只包含类文件,而且 Checkmarx CxSAST 看起来不支持扫描类文件(也不支持 JAR)。 如果我可以扫描代码,我可以通过在 Web 界面中标记它们并将它们从报告中排除来过滤掉在依赖项中发现的任何问题。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)