角2 - CWEの結果 - jQueryとMootools

Question

私の会社は、角度2.0.0のプロジェクトでソースコード分析（IBM AppScanを使用）を行い、いくつかの脆弱性が発見されました。私はそれらを以下に挙げました。

脆弱性

CWE-79：Webページの生成（クロスサイトスクリプティング）中に入力の不適切な中和子ノードのノード

jQueryの安全でない操作の

• MooToolsは安全でない操作

CWE-327：壊れたまたは危険な暗号化アルゴリズムの使用

• 安全でない乱数

CWE-311：機密データ

• のPostMessageの欠落している暗号化任意のターゲット原点に
• 安全ではないHTTP通信

のほとんどは脆弱性は、そのための2.0.0ライブラリ私は脆弱性を排除するために変更することは何もありません。

私は、角度2はjQueryまたはMooToolsを使用しないことを理解しています。その結果を偽陽性と宣言できるように、正式な情報源はありますか？

Answer 1

電子メールで議論されているように、これらはすべて、IBM AppScanでは誤検出と思われます。 Angular 2+はMooToolsやJQueryをまったく使用せず、暗号を含まず、（ソースレポートを読むと）安全でないHTTPエラーも偽陽性です。 AFAICTはおそらく、セキュリティスキャナを最適化された/縮小されたソースコード上で実行することによって引き起こされたものです。