CxSAST已预置许多识别使用标准代码库的源代码安全问题的查询语句,但是,如果项目中使用了极少的通用库,CxSAST不能识别所有安全问题,甚至会误报。使用CxAudit编写查询语句教CxSAST识别这些代码中的问题。
如果是误报,则查找数据流中的清洗元素;如果是未识别的安全问题,则查找输出元素(数据库执行、操作系统命令、输出等)、输入元素。
- FindbyID, FindbyName, or FindbyType - Locate other occurrences of the code element.
- What DataInfluenceBy this - Locate code elements influenced by this element, directly or indirectly.
- What DataInfluencingOn this - Locate code elements influencing this element, directly or indirectly.