使用Checkmarx扫描硬编码密码

Question

目前，我们正在使用Checkmarx扫描应用程序代码。不确定Checkmarx是否检测/扫描源代码中的任何硬编码密码。是否需要在Checkmarx服务器上添加其他配置以检测密码？

Answer 1

不，您不需要配置Checkmarx来查找硬编码密码。

当然，Checkmarx不知道您的密码，所以它无法搜索它。例如，可以做的是搜索一些看起来像硬编码密码的东西：

• var password = "ab12"使用可疑的名称声明变量，并立即为其赋值。我们可以猜到password.
• var foo = "mypassword"是您的ab12您可能选择了一个非常糟糕的密码并将其放入代码中，或者字符串是密码的占位符，总有一天您会忘记删除真正的密码。

另一种选择是自己编写查询，您必须询问公司负责Checkmarx的人员，您是否可以这样做。

但是，您计划如何编写查询呢？，密码会在里面硬编码吗？。