如何解决Sonarqube没有显示安全热点
我正在测试SonarQube社区版7.9.4版(内部版本35981)(由于LTS),其中包含一些故意有危险的js代码,例如:
eval(evt.body);
const net = require('net');
var socket = new net.Socket(); // Questionable
socket.connect(80,'google.com');
// net.createConnection creates a new net.Socket,initiates connection with socket.connect(),then returns the net.Socket that starts the connection
net.createConnection({ port: port },() => {}); // Questionable
// net.connect is an alias to net.createConnection
net.connect({ port: port },() => {}); // Questionable
let password = 'my totally secret password';
console.log(password);
(所有内容均摘自“质量配置文件”中给出的安全性问题示例:建议采用声纳法)
但是我在仪表板上看不到任何错误。错误和代码气味正在显示。
从文档中我读到: 为什么我看不到任何漏洞或安全热点?
您可能看不到任何漏洞或安全热点 原因如下:
- 您没有任何理由,因为代码是在不使用任何安全敏感的API的情况下编写的。
- 漏洞或安全热点规则可用,但未在您的质量配置文件中激活,因此没有安全热点或
- 漏洞被提出。 您所用语言的分析器目前可能仅提供一些规则,而不会引发任何或仅少量漏洞
或安全热点。
#1不可能,因为我故意放错代码。
#2我的“推荐的声纳方式”说它有13个活动的安全热点
#3我不知道如何设置特定的分析器
我还尝试禁用质量门(假装一个),以防万一没有覆盖范围而无法显示其他错误,而无济于事。
我可以做些什么使这些错误显示出来吗?
编辑:如果解决方案是更改版本,我也可以做到
解决方法
对于其他读者:问题是我试图一次测试太多的东西,所以不仅是安全热点,而且是一般的掉毛错误,const重新定义了两次,让我们没有重新定义,并使用let关键字重新定义了变量: / p>
let x=1
// some other lines...
let x='two'
首先“解决”了这些错误(这些错误本来不是要解决的,但有目的地显示出来了……),现在我可以看到安全热点问题
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。