Static Analysis グループが定義した誤検知
Static Analysis グループが定義した誤検知
以下の表は、誤検知と見なすことができるさまざまなルール ID と状況を一覧しています。Source Project 列には FP 検出が生成されたプロジェクトへの参照が含まれています。Origin 列は FP を生成したアナライザーを指します。CWE 列と ID 列はそれぞれ報告された CWE ID とアナライザーが脆弱性を識別するために使用するネイティブの脆弱性 ID を示します。False Positive Reason 列は、報告された検出結果が誤検知と見なすことができる理由を詳述しています。
| Source Project | Origin | CWE | ID | False Positive Reason |
|---|---|---|---|---|
| brakeman, flawfinder, php-security-audit, node-js-scan | gosec | 78 | G204 | 定数値が割り当てられた変数のみがパラメーターとして使用されている。変数はパラメーターとして使用される前にサニタイズされている。 |
| eslint, kubesec | gosec | 703 | G104 | エラーはフォールバックのデフォルト値を使用して暗黙的に処理されている。エラーケースは無関係/無視できる。匿名関数から返されたエラー。 |
| kubesec, mobsf | gosec | 22 | G304 | ファイルコンテンツがチェックされてファイルタイプを識別しブール値を返している。ファイルパスは使用される前に安全に生成されている。 |
| security-products | Gemnasium | CVE-2020-14040 | CVE-2020-14040 | インポートされたライブラリで見つかった脆弱なコードはデッドコードであり、実行時に呼び出されない。 |
| security-products | Gemnasium | CVE-2020-29652 | CVE-2020-29652 | インポートされたライブラリで見つかった脆弱なコードはデッドコードであり、実行時に呼び出されない。 |
| security-products | Gemnasium | GMS-2019-2 | GMS-2019-2 | 解析される YAML コンテンツはユーザーが生成したものではない。 |
