Dismiss low impact issues for development-scoped dependencies
A regra Dismiss low impact issues for development-scoped dependencies é uma predefinição GitHub que descarta automaticamente certos tipos de vulnerabilidades encontradas em dependências npm usadas no desenvolvimento.
A fim de filtrar alertas de baixo impacto para a regra ecosystem:npm, são usados os metadados de alerta scope:development e Dismiss low impact issues for development-scoped dependencies e as CWEs (Common Weakness Enumerations) a seguir selecionadas pelo GitHub. Esta lista e os padrões de vulnerabilidade abordados pelas regras internas são aprimorados regularmente.
Problemas de gerenciamento de recursos
- CWE-400 Consumo descontrolado de recursos
- CWE-770 Alocação de recursos sem limites ou limitação
- CWE-409 Tratamento incorreto de dados altamente compactados (amplificação de dados)
- CWE-908 Uso de recurso não inicializado
- CWE-1333 Complexidade de expressão regular ineficiente
- CWE-835 Loop com condição de saída inacessível ('loop infinito')
- CWE-674 Recursão descontrolada
- CWE-1119 Uso excessivo de branch incondicional
Erros de programação e lógica
- CWE-185 Expressão regular incorreta
- CWE-754 Verificação incorreta de condições incomuns ou excepcionais
- CWE-755 Tratamento incorreto de condições excepcionais
- CWE-248 Exceção não capturada
- CWE-252 Valor de retorno não verificado
- CWE-391 Condição de erro não verificada
- CWE-696 Ordem de comportamento incorreta
- CWE-1254 Granularidade de lógica de comparação incorreta
- CWE-665 Inicialização incorreta
- CWE-703 Verificação ou tratamento incorreto de condições excepcionais
- CWE-178 Tratamento incorreto de distinção entre maiúsculas e minúsculas
Problemas de divulgação de informações confidenciais
- CWE-544 Mecanismo padronizado de tratamento de erro ausente
- CWE-377 Arquivo temporário não seguro
- CWE-451 Deturpação de informações críticas por parte da IU (interface do usuário)
- CWE-668 Exposição de recurso a uma esfera errada