Comments 2
А разве проблема статического анализатора — разбираться с механизмами аутентификации? Он же вроде как предназначен работать только с одним элементом ПАКа — исходными кодами конкретного исполняемого файла, даже если часть кода является библиотеками, используемыми где-либо ещё. Т.е. единственный элемент из топ-25, которого вам всерьез не хватает, это command injection, и то не удивлюсь, если часть более общих диагностик покрывает основные способы что-то внедрить в командную строку, передаваемую в какой-нибудь CreateProcess.
0
Sign up to leave a comment.
CWE Top 25 2021. Что такое, с чем едят и чем полезен при статическом анализе?