Краткое описание:
В снипет кода включается лишний текст из описания уязвимсоти.
if (level === cadesplugin.LOG_LEVEL_DEBUG) **Rule name:** semgrep_public_rules.0xdea.generic.raptor-bad-words **Rule short description:** Semgrep Finding: semgrep_public_rules.0xdea.generic.raptor-bad-words
В самом файле строчка с "уязвимостью" не содержит подстроку "Rule name: sem .... "
Как воспроизводится:
Просканировать файл (sample_code.txt) с помощью Semgrep
Команда на скан примерно такая:
semgrep scan --metrics=off --dataflow-traces --disable-version-check --no-error --config '/semgrep_public_rules' --sarif --output='sample_code_results.sarif' --exclude='*_test.go' --exclude='*/src/test/java/*' sample_code.txt
загрузить результат (sample_code_results_hub.json) в Hub
python3 -m src.import_report --url https://hub-test.ru --token <токенхаба> --appcode test_conv --report-file sample_code_results_hub.json --insecure
Что именно не так:
В файле sample_code.txt "уязвима" - строка 7.
В sarif файле сниппет корректный - строка 208
Конвертированный результат содержит "мусор" - строка 53
Краткое описание: В снипет кода включается лишний текст из описания уязвимсоти.
if (level === cadesplugin.LOG_LEVEL_DEBUG) **Rule name:** semgrep_public_rules.0xdea.generic.raptor-bad-words **Rule short description:** Semgrep Finding: semgrep_public_rules.0xdea.generic.raptor-bad-words
В самом файле строчка с "уязвимостью" не содержит подстроку "Rule name: sem .... "
Как воспроизводится:
semgrep scan --metrics=off --dataflow-traces --disable-version-check --no-error --config '/semgrep_public_rules' --sarif --output='sample_code_results.sarif' --exclude='*_test.go' --exclude='*/src/test/java/*' sample_code.txt
python.exe .\main.py -t CODEBASE -s semgrep --format sarif -f C:\...\sample_code_results.sarif -o sample_code_results_hub.json -n semgrep-sarif-3000-pro -u https://gitlab.xxx.ru/example-repo -b master -bt NPM
python3 -m src.import_report --url https://hub-test.ru --token <токенхаба> --appcode test_conv --report-file sample_code_results_hub.json --insecure
Что именно не так: В файле sample_code.txt "уязвима" - строка 7. В sarif файле сниппет корректный - строка 208 Конвертированный результат содержит "мусор" - строка 53