我们正在使用 Azure Dev Ops 管道和 Github Advanced Security 来扫描我们的存储库是否存在安全风险。
ESLint 正在标记违反两条规则的行为:@microsoft/sdl/no-html-method 和 @microsoft/sdl/no-inner-html。问题是这些标志位于 jquery、jquery 验证和 bootstrap 中 - 所有非常标准的库在我们的代码库中都是最新的。
这对吗?如果这确实是一个“高”严重性的安全漏洞,那么为什么这些问题还没有得到修复呢?有没有办法在 Github Advanced Security 中禁用这些规则? Github Advanced Security 的架构师真的可以期望人们不使用这些库吗?
我们已经更新了库版本和所有其他包版本,很明显这是 JQuery 自己的 .html() 内部调用和其他库的问题。
编辑:我并不是说问题本身是 jQuery 调用 .html(),而是 github 高级安全性标记了所有出现的情况而不评估上下文。这是一个 Github 高级安全问题,而不是 jQuery,我正在寻求帮助来禁用此规则或任何对其他人有效的规则。
Kevin Lu-MSFT 的回答解决了这个问题。我们可以使用配置文件从扫描中排除文件和目录。