CWE-78のセキュリティ問題は、lgtmおよびCodeQLによって検出されます。
ネイティブアプリを起動する入力に悪意のある文字列が含まれているかどうかを確認するプロセスが必要です。
@tdrozdovsky @ t25kimからの提案についてどう思いますか?
@tdrozdovskyこの問題は、#297などのCWE-78に関連しない他のPRに影響するため、できるだけ早く修正する必要があります。 ネイティブアプリを起動するコードの前に、コマンド検証用のコードをいくつか配置しました。 ただし、CodeQLは引き続きCWE-78を検出します。
この問題を解決する他の方法はありますか? または、PR#299でFalse positive
としてマークすることは可能でしょうか?
この問題を解決しようとしていただきありがとうございます。 以前、ネイティブモードには大きな脆弱性があると書いたのですが、システムがそれを検出しないことに驚きました。 しかし、今ではすべてが正しく表示され、脆弱性が検出されています。
この問題は、Linuxカーネルの保護メカニズムを使用したシステムレベルでのみ完全に解決できます。 しかし、私は私たちのプロジェクト内でそれを解決しようとします。 TLSを使い終えるとすぐに、この問題を解決します。
最も参考になるコメント
@tdrozdovsky @ t25kimからの提案についてどう思いますか?