IBM AppScan提出的验证要求问题

Question

在扫描我的应用程序以查找以下代码时，IBM AppScan抛出了所需的错误验证：

return Arrays.asList(System.getenv("PATH").split(":"));

我不确定为什么会抛出这个错误。会不会是假阳性？我可以使用

System.getProperty("java.class.path")

Answer 1

AppScan报告了验证问题，因为您正在从应用程序外部的源获取变量值。根据IBM AppScan规则，应该验证来自应用程序外部的所有字符串值。如果您确定没有人会更改路径值，则可以说这是一个误报。

Answer 2

拆分函数:取决于你必须在函数中传递什么数据。如果在传递函数之前对数据进行了验证，则可以将此问题标记为误报。通常我们将分裂函数标记为假阳性