Veracode测试，检测和修复缺陷

Question

我正在开发一个 Web 应用程序，该应用程序正在客户端进行部署、测试和上线。 现在申请。处于测试模式。客户已使用 Veracode 测试工具来检查漏洞。 我们发现了很多问题。在此之前我想告诉大家，我是这个 Veracode 漏洞修复的新手，我对这些问题了解不多。我在网上搜索过，但对于其中一些漏洞发现的信息很少。 你能把我从下面列出的这些缺陷中拉出来吗？

1) 密码学问题：熵不足。 2）密码问题：使用硬编码密码密钥。 3）违反信任边界

我在这个文件中面临的第一个缺陷

在 RandomPwdGenerator.java 文件中，我们正在生成密码。

你能告诉我这里的期望是什么吗？ 任何帮助appriciated.Thanx提前。

Answer 1

我是 Veracode 产品经理。抱歉，如果您在这里遇到挑战。如果您的客户已让您登录 Veracode 平台，您可以使用 Triage Flaws 视图获取每个缺陷的解释以及指向有关 CWE、OWASP 和 WASC 项目等中的缺陷类型信息的指针。

如果您只有 PDF 报告，则有一些关于修复报告每个部分中的缺陷的基本指南。

您也可以直接联系 Veracode 支持以获得更多帮助。