reactjs - 在 ReactPropTypesSecret.js 上使用硬编码密码 - Veracode
问题描述
我正在尝试通过 OpenShift 部署一个使用“create-react-app”制作的 React App,管道的步骤之一是 Veracode 分析。在这一点上,我的管道因“使用硬编码密码”而失败,源查看器向我显示了这个文件,“ReactPropTypesSecret.js”,它有下一行;
var ReactPropTypesSecret = "SECRET_DO_NOT_PASS_THIS_OR_YOU_WILL_BE_FIRED";
module.exports = ReactPropTypesSecret;
我不知道如何解决它...
解决方案
硬编码密码发现具有挑战性,因为扫描程序必须根据启发式方法对哪些变量可能实际包含密码做出最佳判断。有时这会导致扫描仪猜错。
(我猜这个文本的实际原因类似于这个 Reddit 帖子。)
假设您正在进行沙盒扫描,处理来自 Veracode 的此类警告的方法是提出缓解措施并让某人批准它(取决于您的组织,它可能是您团队中的某个人或安全人员)。一旦缓解措施获得批准,下一次扫描将显示该线路具有批准的缓解措施,并且不会导致扫描使管道失败。
推荐阅读
- c - 为什么一次将值直接添加到 C 中的变量中,并且一次添加一个值会创建不同的值?
- spreadsheet - 计数是否匹配 2 个标准 Google 表格
- javascript - Firebase 实时数据库的分页
- amazon-web-services - 当 IP 在 AWS WAF 中被列入黑名单时,如何配置 SNS 以触发邮件?
- r - 如何在 Windows 10 上安装 Jupyter Lab/Notebook?
- mysql - Laravel SQLSTATE [23000]:完整性约束违规:1451 无法删除或更新父行
- android - 堆栈内的 ListView 导致颤动问题
- javascript - javascript函数仅在某些元素未悬停时执行
- flutter - Flutter speech_to_text 包无法在网络上运行
- graphql - nosql 表上非常简单的关系的最佳实践