Как игнорировать уязвимость конкретного файла

Как игнорировать уязвимость конкретного файла ⇐ JAVA

Ответить

1 сообщение • Страница 1 из 1

Anonymous

Как игнорировать уязвимость конкретного файла

Цитата

Сообщение Anonymous » 24 дек 2024, 15:53

При запуске сообщается о следующей уязвимости Snyk

Код: Выделить всё

% snyk code test

Testing /mydir ...

✗ [High] Cross-Site Request Forgery (CSRF)
Path: src/com/xxx/ConfigSecurity.java, line 22
Info: CSRF protection is disabled by disable. This allows the attackers to execute requests on a user's behalf.

✔ Test completed

Что мне следует сделать, чтобы игнорировать эту уязвимость?
Я получил идентификатор уязвимости:

Код: Выделить всё

% snyk code test --json

И тогда я увидел идентификатор уязвимости в ответе:

Код: Выделить всё

{
"$schema": "https://raw.githubusercontent.com/oasis-tcs/sarif-spec/master/Schemata/sarif-schema-2.1.0.json",
"version": "2.1.0",
"runs": [
{
"tool": {
"driver": {
"name": "SnykCode",
"semanticVersion": "1.0.0",
"version": "1.0.0",
"rules": [
{
==>           "id": "java/DisablesCSRFProtection",
"name": "DisablesCSRFProtection",
...

Затем я создал файл конфигурации Snyk:

Код: Выделить всё

% snyk ignore --id=java/DisablesCSRFProtection

И теперь файл конфигурации snyk содержит:

Код: Выделить всё

# Snyk (https://snyk.io) policy file, patches or ignores known vulnerabilities.
version: v1.25.0
# ignores vulnerabilities until expiry date; change duration by modifying expiry date
ignore:
java/DisablesCSRFProtection:
- '*':
reason: None Given
expires: 2022-07-24T11:41:53.787Z
created: 2022-06-24T11:41:53.791Z
patch: {}

Однако, когда я запускаю snyk в том же каталоге, который содержит созданный мною файл конфигурации Snyk, выдается та же ошибка:

Код: Выделить всё

% snyk code test

Testing /Users/sergiostateri/projects/payment-notification-relay ...

✗ [High] Cross-Site Request Forgery (CSRF)
Path: src/main/java/com/xxx/ConfigSecurity.java, line 22
Info: CSRF protection is disabled by disable. This allows the attackers to execute requests on a user's behalf.

✔ Test completed

Organization:      customer-retention
Test type:         Static code analysis
Project path:      /Users/sergiostateri/projects/payment-notification-relay

1 Code issues found
1 [High]

Обратите внимание, суть этого вопроса не в том, Почему я хочу игнорировать эти уязвимости (у меня есть веские причины), а в том, как их игнорировать.< /п>

Подробнее здесь: https://stackoverflow.com/questions/727 ... cific-file

1735044799

Anonymous

При запуске сообщается о следующей уязвимости Snyk
[code]% snyk code test

Testing /mydir ...

✗ [High] Cross-Site Request Forgery (CSRF)
Path: src/com/xxx/ConfigSecurity.java, line 22
Info: CSRF protection is disabled by disable. This allows the attackers to execute requests on a user's behalf.

✔ Test completed
[/code]
Что мне следует сделать, чтобы игнорировать эту уязвимость?
Я получил идентификатор уязвимости:
[code]% snyk code test --json
[/code]
И тогда я увидел идентификатор уязвимости в ответе:
[code]{
"$schema": "https://raw.githubusercontent.com/oasis-tcs/sarif-spec/master/Schemata/sarif-schema-2.1.0.json",
"version": "2.1.0",
"runs": [
{
"tool": {
"driver": {
"name": "SnykCode",
"semanticVersion": "1.0.0",
"version": "1.0.0",
"rules": [
{
==>           "id": "java/DisablesCSRFProtection",
"name": "DisablesCSRFProtection",
...
[/code]
Затем я создал файл конфигурации Snyk:
[code]% snyk ignore --id=java/DisablesCSRFProtection
[/code]
И теперь файл конфигурации snyk содержит:
[code]# Snyk (https://snyk.io) policy file, patches or ignores known vulnerabilities.
version: v1.25.0
# ignores vulnerabilities until expiry date; change duration by modifying expiry date
ignore:
java/DisablesCSRFProtection:
- '*':
reason: None Given
expires: 2022-07-24T11:41:53.787Z
created: 2022-06-24T11:41:53.791Z
patch: {}
[/code]
Однако, когда я запускаю snyk в том же каталоге, который содержит созданный мною файл конфигурации Snyk, выдается та же ошибка:
[code]% snyk code test

Testing /Users/sergiostateri/projects/payment-notification-relay ...

✗ [High] Cross-Site Request Forgery (CSRF)
Path: src/main/java/com/xxx/ConfigSecurity.java, line 22
Info: CSRF protection is disabled by disable. This allows the attackers to execute requests on a user's behalf.

✔ Test completed

Organization:      customer-retention
Test type:         Static code analysis
Project path:      /Users/sergiostateri/projects/payment-notification-relay

1 Code issues found
1 [High]
[/code]
Обратите внимание, суть этого вопроса не в том, Почему я хочу игнорировать эти уязвимости (у меня есть веские причины), а в том, как их игнорировать.< /п> 

Подробнее здесь: [url]https://stackoverflow.com/questions/72743889/how-to-ignore-a-vulnerability-for-a-specific-file[/url]