Von den voreingestellten GitHub-Dependabot-Regeln verwendete CWEs

GitHub verwendet branchenübliche Kriterien, um Dependabot alerts zu filtern.

Dismiss low impact issues for development-scoped dependencies

Die Dismiss low impact issues for development-scoped dependencies-Regel ist eine GitHub-Voreinstellung, die bestimmte Arten von Sicherheitsrisiken automatisch schließt, die in npm-Abhängigkeiten gefunden werden, die in der Entwicklung verwendet werden.

Zusammen mit den Warnungsmetadaten ecosystem:npm und scope:development verwenden wir die folgenden von GitHub kuratierten Common Weakness Enumerations (CWEs), um Warnungen mit geringen Auswirkungen für die Dismiss low impact issues for development-scoped dependencies-Regel herauszufiltern. Wir verbessern regelmäßig diese Liste und sicherheitsrelevanten Muster, die von integrierten Regeln abgedeckt werden.

Ressourcenverwaltungsprobleme

  • CWE-400 Unkontrollierter Ressourcenverbrauch
  • CWE-770 Zuteilung von Ressourcen ohne Limitierungen oder Drosselung
  • CWE-409 Unsachgemäßer Umgang von hoch komprimierten Daten (Datenverstärkung)
  • CWE-908 Verwendung nicht initialisierter Ressourcen
  • CWE-1333 Ineffiziente Komplexität regulärer Ausdrücke
  • CWE-835-Schleife mit nicht erreichbarer Beendigungsbedingung („Endlosschleife“)
  • CWE-674 Unkontrollierte Rekursion
  • CWE-1119 Übermäßiger Einsatz von bedingungslosem Branching

Programmierfehler und logische Fehler

  • CWE-185 Falscher regulärer Ausdruck
  • CWE-754 Unsachgemäße Überprüfung auf ungewöhnliche oder außergewöhnliche Ausnahmebedingungen
  • CWE-755 Unsachgemäßer Umgang von außergewöhnlichen Bedingungen
  • CWE-248 Nicht abgefangene Ausnahme
  • CWE-252 Nicht überprüfter Rückgabewert
  • CWE-391 Nicht überprüfte Fehlerbedingung
  • CWE-696 Falsche Verhaltensreihenfolge
  • CWE-1254 Unzureichende Granularität der Vergleichslogik
  • CWE-665 Unsachgemäße Initialisierung
  • CWE-703 Unsachgemäße Überprüfung oder Behandlung außergewöhnlicher Bedingungen
  • CWE-178 Unsachgemäße Behandlung der Groß-/Kleinschreibung

Probleme bei der Veröffentlichung von Informationen

  • CWE-544 Fehlender standardisierter Fehlerbehandlungsmechanismus
  • CWE-377 Unsichere temporäre Datei
  • CWE-451 Benutzeroberfläche (UI): Fehlerhafte Darstellung wichtiger Informationen
  • CWE-668 Offenlegung der Ressource in falscher Sphäre