IBM AppScan 的验证要求问题

Posted 2023-02-19

【中文标题】IBM AppScan 的验证要求问题

【英文标题】：Validation Required issue by IBM AppScan

【发布时间】：2018-12-27 07:03:44

【问题描述】：

IBM AppScan 在扫描我的应用程序以查找以下代码时引发了错误 Validation Required：-

return Arrays.asList(System.getenv("PATH").split(":"));

我不确定为什么会抛出错误。会不会是误报？可以用吗

System.getProperty("java.class.path")

【参考方案1】：

AppScan 报告验证问题，因为您从应用程序外部的源获取变量值。根据 IBM AppScan 规则，应验证来自应用程序外部的所有字符串值。如果您确定没有人会更改 PATH 值，则可以说这是误报。

【讨论】：

谢谢。但是如何验证 PATH 变量的值呢？ JAVA 教程指出“当系统属性中存在相同的值时，永远不要引用环境变量”。那么哪个属性会返回与 getenv("PATH") 相同的值呢？

检查漏洞建议，在 AppScan Source 中，您应该看到该工具会接受什么，或者只是将其标记为误报。

【参考方案2】：

拆分函数：取决于您必须在函数中传递哪些数据。如果在传递函数之前验证了数据，那么您可以将此问题标记为误报。 通常我们将分割函数标记为误报

【讨论】：

这并没有提供问题的答案。一旦你有足够的reputation，你就可以comment on any post；相反，provide answers that don't require clarification from the asker。 - From Review

我知道所有的堆栈溢出策略。我仍然理解您的观点，但如果我知道答案，我可以发布，如果您认为这不是正确答案，请更新正确答案。