Énumérateurs de failles courantes utilisés par les règles Dependabot prédéfinies de GitHub

GitHub utilise des critères conformes aux normes du secteur pour vous aider à filtrer Dependabot alerts.

Dismiss low impact issues for development-scoped dependencies

La règle Dismiss low impact issues for development-scoped dependencies est une règle prédéfinie de GitHub qui rejette automatiquement certains types de vulnérabilités détectées dans des dépendances npm utilisées en phase de développement.

En plus des métadonnées d’alerte ecosystem:npm et scope:development, nous utilisons les listes de vulnérabilités publiquement connues (CWE) suivantes, organisées par GitHub, pour filtrer les alertes à faible impact selon la règle Dismiss low impact issues for development-scoped dependencies. Nous enrichissons régulièrement cette liste et les modèles de vulnérabilités couverts par les règles intégrées.

Problèmes de gestion des ressources

  • CWE-400 Uncontrolled Resource Consumption (Consommation non contrôlée des ressources)
  • CWE-770 Allocation of Resources Without Limits or Throttling (Allocation de ressources sans limite ni limitation)
  • CWE-409 Improper Handling of Highly Compressed Data (Data Amplification) [Traitement incorrect des données hautement compressées (Amplification des données)]
  • CWE-908 Use of Uninitialized Resource (Utilisation de ressource non initialisée)
  • CWE-1333 Inefficient Regular Expression Complexity (Complexité d’expression régulière inefficace)
  • CWE-835 Loop with Unreachable Exit Condition (’Infinite Loop’) [Boucle avec condition de sortie inaccessible (« Boucle infinie »)]
  • CWE-674 Uncontrolled Recursion (Récursion non contrôlée)
  • CWE-1119 Excessive Use of Unconditional Branching (Utilisation excessive de branches sans condition)

Erreurs de logique et de programmation

  • CWE-185 Incorrect Regular Expression (Expression régulière incorrecte)
  • CWE-754 Improper Check for Unusual or Exceptional Conditions (Vérification incorrecte de conditions inhabituelles ou exceptionnelles)
  • CWE-755 Improper Handling of Exceptional Conditions (Traitement incorrect de conditions exceptionnelles)
  • CWE-248 Uncaught Exception (Exception non interceptée)
  • CWE-252 Unchecked Return Value (Valeur retournée non vérifiée)
  • CWE-391 Unchecked Error Condition (Condition d’erreur non vérifiée)
  • CWE-696 Incorrect Behavior Order (Ordre de comportement incorrect)
  • CWE-1254 Incorrect Comparison Logic Granularity (Granularité de logique de comparaison incorrecte)
  • CWE-665 Improper Initialization (Initialisation incorrecte)
  • CWE-703 Improper Check or Handling of Exceptional Conditions (Vérification ou traitement incorrects de conditions exceptionnelles)
  • CWE-178 Improper Handling of Case Sensitivity (Traitement incorrect du respect de la casse)

Problèmes de divulgation d’informations

  • CWE-544 Missing Standardized Error Handling Mechanism (Absence de mécanisme standardisé de traitement des erreurs)
  • CWE-377 Insecure Temporary File (Fichier temporaire non sécurisé)
  • CWE-451 User Interface (UI) Misrepresentation of Critical Information (Présentation erronée d’informations critiques dans l’interface utilisateur)
  • CWE-668 Exposure of Resource to Wrong Sphere (Exposition de ressource à une sphère incorrecte)