findsecbugs 报告导入库代码段漏洞的原因

Posted 2023-02-19

【中文标题】findsecbugs 报告导入库代码段漏洞的原因

【英文标题】：Reason why findsecbugs report the vulnerabilities in the code segment of the imported library

【发布时间】：2021-02-24 00:44:05

【问题描述】：

如下图所示，第18行显示扫描了一个硬编码漏洞。

但是当我将此标记的模块导入其他文件时，它不会报告问题。奇怪的是，当我删除标记的模块时，它也报告了这个问题。

请帮我解决这个问题。

【问题讨论】：

扫描器似乎认为标记的模块中有硬编码密码。至于为什么会这样，从您向我们展示的内容中无法辨别。 - 如果您可以避免这样做，请不要将图片作为您的问题的一部分发布。在这种情况下，您显然可以将该图像中的文本作为文本传输到您的问题中。你应该这样做。

但是当我在其他文件中导入这个标记的模块时它不会报告这个问题。奇怪的是当我删除标记的模块时它也会报告这个问题。

有趣。您应该将这些 cmets 移到问题中，因为它们显示了对您来说真正的问题是什么。

请分享 Spotbugs 报告。

【参考方案1】：

问题在这里调查：https://github.com/find-sec-bugs/find-sec-bugs/issues/617#issuecomment-741505146

原始发帖人 (@j0ck) 发现了问题。 ? 是代码编织改变了字节码并可能修改了源代码行元数据。