角2-CWE发现- jQuery和Mootools

Question

最近，我的公司在我的Range2.0.0项目上做了一个源代码分析(使用AppScan)，发现了一些漏洞。我把它们列在下面。

Vulnerabilities

CWE-79:在生成网页(跨站点脚本)过程中输入的不正确中和

• 节点的MooTools不安全操作
• 子节点的JQuery不安全操作

CWE-327:使用破损或危险的密码算法

• 不安全随机数

CWE-311:敏感数据的缺失加密

• 任意目标来源的PostMessage
• 不安全HTTP通信

大多数漏洞来自角2.0.0库，因此没有什么可以更改以消除漏洞。

我从角度上了解到，2不使用jQuery，甚至不使用MooTools。这方面是否有官方资料来源，使我可以宣布调查结果为假阳性？

Answer 1

正如电子邮件中所讨论的，这些似乎都是IBM AppScan中的假阳性。2+根本不使用MooTools或JQuery，不包含任何密码，而且(从读取源报告)来看，不安全的HTTP错误也是假的。AFAICT可能是由于运行了安全扫描程序而对源代码进行了优化/精简，从而使其失效。