Lgtm 和 CodeQL 检测到 CWE-78 安全问题。
我们需要一个进程来检查启动本机应用程序的输入是否包含恶意字符串。
@tdrozdovsky您如何看待@t25kim 的建议?
@tdrozdovsky此问题会影响其他与 CWE-78 无关的 PR,例如 #297,应尽快修复。 我在启动本机应用程序的代码之前放置了一些用于命令验证的代码。 但是,CodeQL 仍然检测到 CWE-78。
有没有其他方法可以解决这个问题? 或者是否可以使用 PR #299 将其标记为False positive
?
感谢您尝试消除此问题。 之前写过native模式有一个很大的漏洞,后来很惊讶系统没有检测到。 但是现在一切都正确显示并且检测到漏洞。
这个问题只有在系统层面使用Linux内核的保护机制才能完全解决。 但我会尝试在我们的项目中解决它。 完成 TLS 后,我立即执行此问题。
最有用的评论
@tdrozdovsky您如何看待@t25kim 的建议?