В настоящее время мы используем Checkmarx для сканирования кода приложения. Не уверен, что Checkmarx обнаруживает/сканирует какие-либо жестко закодированные пароли внутри исходного кода. Есть ли какие-либо дополнительные настройки, которые необходимо добавить на сервер Checkmarx для обнаружения паролей?
Сканирование жестко закодированных паролей с помощью Checkmarx
comment
Существует одно правило проверки, чтобы обнаружить это
- person SPoint   schedule 13.02.2020
Ответы (1)
Нет, вам не нужно настраивать Checkmarx для поиска жестко запрограммированных паролей.
Конечно, Checkmarx не знает вашего пароля, поэтому не может его найти. Что он может делать, так это искать вещи, которые кажутся похожими на жестко закодированные пароли, например:
var password = "ab12"
Вы объявляете переменную с подозрительным именем и сразу же присваиваете ей значение. Мы можем предположить, чтоab12
— это ваш пароль.var foo = "mypassword"
Вероятно, вы выбрали очень плохой пароль и вставили его в код, или строка является заполнителем для вашего пароля, и однажды вы забудете удалить настоящий пароль.
Другой вариант — написать запрос самостоятельно, вам придется спросить у человека, ответственного за Checkmarx в вашей компании, сможете ли вы это сделать.
Но все же, как вы планируете писать запрос? Будет ли пароль жестко закодирован внутри? ????
person
baruchiro
schedule
12.02.2020
имейте в виду, что это правило не обнаруживает все жестко запрограммированные формы того, что мы можем назвать паролем
- person SPoint; 15.04.2020