{"meta":{"title":"GitHub 预设 Dependabot 规则使用的 CWE","intro":"GitHub 使用行业标准条件来帮助筛选 Dependabot alerts。","product":"安全性和代码质量","breadcrumbs":[{"href":"/zh/code-security","title":"安全性和代码质量"},{"href":"/zh/code-security/reference","title":"Reference"},{"href":"/zh/code-security/reference/supply-chain-security","title":"供应链安全"},{"href":"/zh/code-security/reference/supply-chain-security/criteria-for-preset-rules","title":"预设规则的条件"}],"documentType":"article"},"body":"# GitHub 预设 Dependabot 规则使用的 CWE\n\nGitHub 使用行业标准条件来帮助筛选 Dependabot alerts。\n\n## `Dismiss low impact issues for development-scoped dependencies`\n\n`Dismiss low impact issues for development-scoped dependencies` 规则是 GitHub 预设的规则，可自动消除在开发中使用的 npm 依赖项中发现的某些类型的漏洞。\n\n除了 `ecosystem:npm` 和 `scope:development` 警报元数据外，我们还使用以下 GitHub 特选的常见漏洞枚举 (CWE) 来筛选掉 `Dismiss low impact issues for development-scoped dependencies` 规则的低影响警报。 我们会定期改进此列表和内置规则涵盖的漏洞模式。\n\n### 资源管理问题\n\n* CWE-400 不受控制的资源消耗\n* CWE-770 无限制的资源分配\n* CWE-409 错误处理高度压缩的数据（数据放大）\n* CWE-908 未初始化资源的使用\n* CWE-1333 低效正则表达式复杂性\n* CWE-835 具有无法访问退出条件的循环（“无限循环”）\n* CWE-674 不受控制的递归\n* CWE-1119 过度使用无条件分支\n\n### 编程和逻辑错误\n\n* CWE-185 错误的正则表达式\n* CWE-754 异常情况的不当检查\n* CWE-755 异常情况的不当处理\n* CWE-248 未捕获异常\n* CWE-252 未经检查的返回值\n* CWE-391 未经检查的错误条件\n* CWE-696 行为顺序不正确\n* CWE-1254 错误的比较逻辑粒度\n* CWE-665 初始化不正确\n* CWE-703 异常情况的不当检查或处理\n* CWE-178 区分大小写的不当处理\n\n### 信息泄漏问题\n\n* CWE-544 缺少标准化错误处理机制\n* CWE-377 不安全的临时文件\n* CWE-451 用户界面 (UI) 错误陈述关键信息\n* CWE-668 向错误球体公开资源"}