当只有空格变化时，Checkmarx分析就会发生变化。

Question

Н！我担心checkmarx扫描的可靠性。

我创建了一个checkmarx项目，只有两个文件：

• library.minified.js
• library.formatted.js

我使用beautifier.io从library.minified.js生成library.formatted.js。没有其他更改；除了空格格式更改之外，这两个文件完全相同。

令人关切的是，checkmarx对这两个类似的文件感知不同的安全威胁。特别是，它在小型化版本中感知多个高风险项，而在格式化版本中没有高风险项。

如果两个javascript文件在格式上是相同的，为什么checkmarx会在每个文件中发现不同的安全威胁？

如何相信checkmarx的判断，如果空白( JS解释器将忽略的一个因素)影响评估吗？

Answer 1

我们知道，在某些情况下，空格的变化确实会对结果产生影响，我们正在不断地审查改进分析的方法。

为了解决这些问题，获取您的输入将是非常有帮助的，所以如果您可以用这些示例打开一张通往Checkmarx支持的票证，我们将尽力提供帮助。