Dismiss low impact issues for development-scoped dependencies
Dismiss low impact issues for development-scoped dependencies 规则是 GitHub 预设的规则,可自动消除在开发中使用的 npm 依赖项中发现的某些类型的漏洞。
除了 ecosystem:npm 和 scope:development 警报元数据外,我们还使用以下 GitHub 特选的常见漏洞枚举 (CWE) 来筛选掉 Dismiss low impact issues for development-scoped dependencies 规则的低影响警报。 我们会定期改进此列表和内置规则涵盖的漏洞模式。
资源管理问题
- CWE-400 不受控制的资源消耗
- CWE-770 无限制的资源分配
- CWE-409 错误处理高度压缩的数据(数据放大)
- CWE-908 未初始化资源的使用
- CWE-1333 低效正则表达式复杂性
- CWE-835 具有无法访问退出条件的循环(“无限循环”)
- CWE-674 不受控制的递归
- CWE-1119 过度使用无条件分支
编程和逻辑错误
- CWE-185 错误的正则表达式
- CWE-754 异常情况的不当检查
- CWE-755 异常情况的不当处理
- CWE-248 未捕获异常
- CWE-252 未经检查的返回值
- CWE-391 未经检查的错误条件
- CWE-696 行为顺序不正确
- CWE-1254 错误的比较逻辑粒度
- CWE-665 初始化不正确
- CWE-703 异常情况的不当检查或处理
- CWE-178 区分大小写的不当处理
信息泄漏问题
- CWE-544 缺少标准化错误处理机制
- CWE-377 不安全的临时文件
- CWE-451 用户界面 (UI) 错误陈述关键信息
- CWE-668 向错误球体公开资源