问题描述
我正在尝试在OpenShift上部署使用“ create-react-app”制作的React App,管道的步骤之一是Veracode分析。 此时,我的管道无法使用“硬编码密码”,并且源查看器向我显示了该文件“ ReactPropTypesSecret.js”,其中包含下一行;
var ReactPropTypesSecret = "SECRET_DO_NOT_PASS_THIS_OR_YOU_WILL_BE_FIRED";
module.exports = ReactPropTypesSecret;
我不知道如何解决...
解决方法
硬编码的密码发现颇具挑战性,因为扫描程序必须根据启发式方法,对可能包含密码的变量进行最佳判断。有时,这会使扫描仪猜错。
(我想这本书的实际起因是this Reddit post。)
假设您正在执行沙盒扫描,则处理来自Veracode的此类警告的方法是propose a mitigation and get someone to approve it(取决于您的组织,它可能是您团队中的某人或安全方面的某人)。缓解措施一旦获得批准,下一次扫描将显示该行具有批准的缓解措施,并且不会导致扫描使管道失败。