Buongiorno,
abbiamo un cliente che per policy aziendale deve far passare alle applicazioni usate in azienda un test di analisi statica del codice. Il tool utilizzato è Veracode e il funzionamento è semplice: carico uno zip che contiene l’applicazione compilata (asp.net in questo caso), faccio partire l’analisi che esamina tutti i file (dll, js) e fornisce un report delle potenziali vulnerabilità riscontrate.
Il problema è che la maggior parte delle vulnerabilità me le sta riscontrando nelle classi della libreria ijlib.dll, ne riporto un esempio nell’immagine allegata qui sotto.
Sono abbastanza convinto che si tratti di un falso positivo ed esiste una procedura con cui posso marcare le segnalazioni e chiedere una mitigazione.
Il problema è come fare dato che non ho accesso al sorgente a dichiarare che si tratta di un falso positivo?
E’ mai successo a qualcuno prima? Che supporto può fornire in questo caso Progamma? Magari fornire lo snippet di codice sorgente indicato e una breve spiegazione di cosa fa? Aprire un’assistenza per ogni vulnerabilità?
Ad esempio un’altra segnalazione che mi da è nel codice generato da inde in alcuni trap di eccezione ma li ho il sorgente e vedo che è un falso positivo e fornisco sorgente e spiegazione.
Grazie a chi può darmi un feedback
@stefano.masiero penso che questo sia proprio un caso da assistenza con pre valutazione attivata nella quale riporti quanto scritto qui e che ti occorre il sorgente di ijlib.dll per confutare i falsi positivi mostrando loro il codice come fai per quello generato da Instant Developer Foundation.
Direi che il reparto di Supporto sarà in grado di fornirti una soluzione consona al tuo problema e non credo che tu debba aprire un ticket per ogni vulnerabilità.
3 Mi Piace
Grazie Paolo! Allora prenoto un’assistenza.
1 Mi Piace
Visto che si parla di sicurezza aggiungo che il reparto di supporto è sempre disponibile per valutare insieme eventuali report di penetration testing, per trovare una risposta o una contromisura alle eventuali criticità da risolvere. Che siano nelle nostre librerie, nella parte non offuscata o anche nel codice del progetto scritto.
Insomma, vogliamo esservi vicini anche in questo.
4 Mi Piace
Grazie Giuseppe, mi confermi ciò che già immaginavo ma volevo essere sicuro di come gestire la cosa in questi casi.
Ad esempio sempre per lo stesso report avevo chiesto in precedenza sul forum (The Instant Developer Forums • View topic - ijlib.js contiene una vulnerabilità critica) informazioni su un file js ma non ho ricevuto alcuna risposta.
So che sul forum arrivano molti messaggi e di varia natura e quindi è complicato per voi seguirli. Questa volta ho provato qui sulla community dove c’è una modalità di interazione diversa.
Sto aspettando di capire con il team devsec del cliente cosa si aspettano e poi apro una richiesta di supporto.
Grazie!
2 Mi Piace
