2

你好!我担心 checkmarx 扫描的可靠性。

我创建了一个只有两个文件的 checkmarx 项目:

  • library.minified.js
  • library.formatted.js

我已经使用beautifier.iolibrary.formatted.js. library.minified.js没有其他变化;除了空白格式更改外,这两个文件完全相同。

令人担忧的是,checkmarx 对两个相似文件的安全威胁不同。特别是它在缩小版中感知到了几个高风险项目,而在格式化版本中没有高风险项目。

如果两个 javascript 文件的格式相同,为什么 checkmarx 会在每个文件中感知不同的安全威胁?

如果空白(JS 解释器会忽略的一个因素)影响评估,我如何相信 checkmarx 的判断?

4

1 回答 1

1

我们知道,在某些情况下,空白更改确实会影响结果,并且我们会不断审查改进分析的方法。

获得您的意见对于解决这些问题将非常有帮助,因此,如果您可以的话,请使用这些示例打开 Checkmarx 支持的票证,我们将尽最大努力提供帮助。

于 2019-01-28T13:01:59.417 回答