Избегайте сканирования сторонних библиотек в Veracode

Question

Мы недавно начали использовать Veracode для тестирования уязвимости. Есть ли способ выборочно исключить все сторонние библиотеки и сфокусировать сканирование только на нашем коде внутренних библиотек?

Answer 1

Привет: Ответ на ваш вопрос зависит от языка, на котором написано приложение, которое вы сканируете.

• Java: Veracode уважает соглашения о структуре файла WAR и рассматривает JAR в каталоге/lib как код третьей стороны. Они включаются в результаты анализа состава программного обеспечения, если вы подписываетесь на эту услугу, но мы не сообщаем об уязвимостях, которые находятся в коде в этом каталоге.
• C/C++/.NET: По умолчанию будут сканироваться только исполняемые файлы верхнего уровня. Статический движок также будет следовать кодам из исполняемых файлов верхнего уровня в сторонние библиотеки, если они присутствуют, но не будет проверять все возможных частей сторонних библиотек на наличие недостатков. Вы можете перейти в расширенный режим и нажать «Показать зависимости», если хочет для сканирования всех возможных путей в библиотеках сторонних зависимостей на наличие недостатков.
• PHP/JavaScript/Android/iOS/другие языки: Исключить сторонние библиотеки для этих языков невозможно.

Если у вас есть дополнительные вопросы, обратитесь в службу поддержки Veracode, и они помогут вам в дальнейшем.