 描述
源代码包含注释,不能准确地描述或解释方面的部分代码相关的评论。
扩展描述
当评论不准确地反映相关的代码元素,这可以介绍混乱评论家(由于不一致性)或使它更困难和低效的验证代码正确地实现预期的行为。
这个问题使其更难以维护产品,间接影响安全,使其更加困难或耗时的发现和/或修复漏洞。它也可能会使它更容易引入缺陷。
的关系
 此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关的视图”研究概念”(cwe - 1000)
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。 |
1078年 |
不恰当的源代码样式或格式 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关观点“软件开发”(cwe - 699)
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
 类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1006年 |
糟糕的编码实践 |
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
示范例子
示例1
下面的Java示例代码中执行计算来确定多少药管理。评论提供给洞察计算应该做什么。不幸的是评论的实际代码不匹配,从而让读者想知道哪个是正确的。
公开课主要{
公共静态void main (String [] args) {
int pt_weight = 83;
int mg_per_kg = 3;
int daily_dose = 0;
/ /添加病人体重和毫克/公斤来计算正确的剂量
daily_dose = pt_weight * mg_per_kg;
返回剂量; } }
下面的修正代码功能验证和评论已经修正以反映正确的计算。
公开课主要{
公共静态void main (String [] args) {
int pt_weight = 83;
int mg_per_kg = 3;
int daily_dose = 0;
/ /增加患者体重和毫克/公斤来计算正确的剂量
daily_dose = pt_weight * mg_per_kg;
返回剂量; } }
注意,在实际的代码中,这些值应该验证不允许负数,防止整数溢出等。
潜在的缓解措施
实施阶段:
确认每个评论准确地反映旨在发生时执行的代码。 |
弱点Ordinalities
| Ordinality |
描述 |
|
间接 |
(缺点是一个质量问题,可能会间接更容易引入的安全相关的弱点或使他们更难检测) |
脆弱性映射笔记
用法:允许
(CWE ID可以用来映射到现实世界的漏洞) |
原因:可接受的使用 |
理由是: 这CWE条目底部的抽象级别,这是一个首选的抽象级别映射到漏洞的根本原因。 |
评论: 仔细阅读这两个名称和描述,以确保此映射是一个适当的配合。不要试图“力”映射到底层基础/变体只是遵守这首选的抽象级别。 |
引用
更多的信息是可用的,请编辑自定义过滤器或选择一个不同的过滤器。
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
