Bibliotecas de terceros y fortificadas [cerradas]

1

Estoy tratando de entender en la nueva versión de Fortify SCA 17.10, ¿por qué el escaneo por defecto excluye las bibliotecas de terceros? Encontré este artículo y parece que hay una biblioteca de código abierto que utilizas, Le convendría que solucione estos problemas mediante una solicitud de encuesta. Noté que algunos de los hallazgos que obtengo de un escaneo de Fortify son típicamente falsos positivos, ¿es por eso que ahora Fortify excluye las bibliotecas de terceros? ¿Hay una razón legítima para esto?

    
pregunta developer_117 05.07.2017 - 17:29
fuente

1 respuesta

1

Por lo tanto, no sé por qué hicieron esto, pero a sabiendas de los desarrolladores y su actitud hacia el software de terceros, aquí está mi especulación:

  1. Los desarrolladores no se preocupan por todo el sistema, quieren conocer los errores en el código que escribieron.
  2. Escanear el código de un tercero lleva tiempo. ¿Por qué dedicar tiempo a descubrir cosas que al desarrollador promedio no le importa?

¿Los desarrolladores deberían preocuparse por la seguridad total del producto? Por supuesto. Pero el desarrollador típico no se evalúa en eso, se evalúa según el código que producen.

    
respondido por el Swashbuckler 05.07.2017 - 18:48
fuente

Lea otras preguntas en las etiquetas