当前,我们正在使用checkmarx扫描应用程序代码,不确定checkmarx是否检测/扫描源代码中的任何硬编码passowrd?在checkmarx服务器上是否需要添加任何其他配置以检测passowrds
否,您无需配置Checkmarx即可找到硬编码的密码。
当然,Checkmarx不知道您的密码,因此无法搜索它。可以要做的就是搜索看起来像like硬编码密码的内容,例如:
var password = "ab12"您使用可疑的名称声明变量,然后立即为其分配值。我们可以猜测ab12是您的密码。var foo = "mypassword"您可能选择了一个非常错误的密码并将其放在代码中,或者该字符串是您的密码的占位符,有一天您会忘记删除真实密码。另一种选择是自己编写查询,您必须询问公司中负责Checkmarx的人员是否可以这样做。
但是,您打算如何编写查询? 密码将被硬编码在里面吗?😂