Dismiss low impact issues for development-scoped dependencies
“Dismiss low impact issues for development-scoped dependencies” 规则是 GitHub 的预设规则,会自动忽略在开发环境使用的 npm 依赖中发现的某些类型的漏洞。
除了 ecosystem:npm 和 scope:development 警报元数据外,我们还使用以下 GitHub 整理的通用弱点枚举(CWE)来过滤掉适用于 “Dismiss low impact issues for development-scoped dependencies” 规则的低影响警报。我们会定期改进此列表以及内置规则覆盖的漏洞模式。
资源管理问题
- CWE-400 未受控的资源消耗
- CWE-770 资源分配无上限或无节流
- CWE-409 处理高度压缩数据不当(数据放大)
- CWE-908 使用未初始化的资源
- CWE-1333 正则表达式复杂度低效
- CWE-835 循环存在不可达退出条件(‘无限循环’)
- CWE-674 未受控递归
- CWE-1119 过度使用无条件分支
编程和逻辑错误
- CWE-185 正则表达式错误
- CWE-754 对异常或异常情况检查不当
- CWE-755 对异常情况处理不当
- CWE-248 未捕获的异常
- CWE-252 未检查的返回值
- CWE-391 未检查的错误条件
- CWE-696 行为顺序错误
- CWE-1254 比较逻辑细粒度错误
- CWE-665 初始化不当
- CWE-703 对异常情况的检查或处理不当
- CWE-178 对大小写敏感性的处理不当
信息泄露问题
- CWE-544 缺失标准化错误处理机制
- CWE-377 不安全的临时文件
- CWE-451 用户界面(UI)对关键信息的误导性展示
- CWE-668 资源暴露给错误的范围