在叡揚內部的 Jenkins 上有個 Secure Codes 頁籤,其中有許多兩兩成對的專案,每對表達一個資安弱點的具體案例與解決。由於我們以 Checkmarx 掃描工具為主,所以每對專案名稱中都會含 Checkmarx 報告中的弱點全名,例如「Stored XSS」這個弱點,就會有一個 Stored XSS 與一個 Stored XSS Resolved 專案。<br /> <br />為了讓大家儘可能清楚明確地了解弱點的要素,程式碼都縮減到最小,力求弱點專案的掃描報告只有單一弱點出現,並且在解決專案的掃描報告弱點為零。若專案有多次建置歷程,請忽略那些較舊的歷史,單獨看最後一次。<br /> <br /> 要如何觀察這些成對的專案呢?請注意各專案的版控位址,也都是同一個 Gitlab 專案的不同分支,所以簡單地利用分支的差異比對即可。有時候會只差在一行之中的幾個字,有時候也會稍多一些,但相信都不會太複雜。