在使用checkmarx扫描安全漏洞的代码时,会报告指向变量名称的隐私违规问题。隐私违规Checkmarx
public const string Authentication = "authentication";
我使用这个变量这个名字(“认证”),它存储了所有认证相关的详细信息来创建缓存的区域。
为了解决隐私违规问题,将此变量名称更改为一些不太有意义的名称是正确的。这是一个安全威胁?
在使用checkmarx扫描安全漏洞的代码时,会报告指向变量名称的隐私违规问题。隐私违规Checkmarx
public const string Authentication = "authentication";
我使用这个变量这个名字(“认证”),它存储了所有认证相关的详细信息来创建缓存的区域。
为了解决隐私违规问题,将此变量名称更改为一些不太有意义的名称是正确的。这是一个安全威胁?
这可能是一个误报。你应该看什么侵犯隐私规则查找,并了解它是如何工作...
您也可以将其标记为假阳性和...更改状态转移到不可利用
Checkmarx正在寻找像'password','credentials','Authentication'等变量。当它看到你为它们赋值时,它会警告你可能将敏感信息存储在代码中(对它进行硬编码)。 如果您提到它看起来像是误报,因为这不是敏感信息。
尽管在缓存中存储身份验证细节migth本身就是一个漏洞,尤其是当它是分布式缓存时,但我们当然不能说。 –