Checkmarx:应用程序包含硬编码连接详细信息。这可以公开数据库密码。
Checkmarx:应用程序包含硬编码连接详细信息。这可以公开数据库密码。
提问于 2020-07-22 10:57:24
来自Checkmarx报告:
应用程序包含硬编码连接详细信息。这可以公开数据库密码。
我使用jasypt-spring-boot进行密码加密。但是在Checkmarx中,它将其标记为媒体漏洞。
使用的依赖项:
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot</artifactId>
<version>2.0.0</version>
</dependency>In PropertFile:
projectname.password=ENC(encrypted password)
@Value("${projectname.password}")
private String dBpassword;并使用上面的dBpassword连接到数据库。
回答 1
Stack Overflow用户
发布于 2020-08-29 16:05:09
Checkmarx会有一定数量的假阳性。它不可能知道每一种可能性。因此,在本例中,它没有意识到@Value注释实际上是从一个配置文件中读取它。在这种情况下,您需要遵循组织过程来处理假阳性,并在Checkmarx中标记最终结果。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/63032617
复制相关文章
相似问题
腾讯云开发者
