Prisma Cloud Application Security: Checkov gibt leere Ergebnisse beim Scannen von Azure Repos mit .NET Framework 8.0 in CSPROJ-Dateien aus

Prisma Cloud Application Security: Checkov gibt leere Ergebnisse beim Scannen von Azure Repos mit .NET Framework 8.0 in CSPROJ-Dateien aus

263
Created On 08/16/24 16:00 PM - Last Modified 04/22/26 19:39 PM


Symptom


Angenommen, Sie scannen ein Azure-Verzeichnis und es gibt mehrere CSPROJ-Dateien mit detaillierten Paketinformationen für das Repository.

Wenn das Zielframework in diesen Dateien „net 6.0“ ist, kann Checkov das Repository problemlos scannen und Ihnen Paketinformationen anzeigen. Wenn das aufgeführte Framework „net 8.0“ ist, liefert Checkov leere Ergebnisse.

Zielframeworkspezifikation in CSPROJ-Dateien:
Zielframework in den .csproj-Dateien angegeben

Environment


  • Prisma Cloud
  • Microsoft Azure
  • Tschechow

Cause


In the .csproj files, the target framework specified is "net 8.0". In other file, it's "net 6.0".

When running a Checkov scan on both files, the file with framework "net 6.0" works fine. However, "net 8.0" produces empty scan results.

Verwenden von .NET 8.0 
checkov -d ./src --support --hard-fail-on HIGH --framework sca_package --bc-api-key **************::************** --prisma-api-url https://api.prismacloud.io --output spdx --output json --output-file-path "SCA/" --repo-id "****/****" --branch "****"
{
"passed": 0,
"failed": 0,
"skipped": 0,
"parsing_errors": 0,
"resource_count": 0,
"checkov_version": "3.2.219"
}

--- OUTPUT DELIMITER ---

## Document Information
SPDXVersion: SPDX-2.3
DataLicense: CC0-1.0
SPDXID: SPDXRef-DOCUMENT
DocumentName: checkov-sbom
DocumentNamespace: https://spdx.org/spdxdocs/checkov-sbom-3.2.219-454a024b-d83b-4152-bf58-8e26789deb93

## Creation Information
Creator: Tool: checkov
Creator: Organization: bridgecrew (meet@bridgecrew.io)
Created: 2024-08-09T16:47:05Z

Verwenden von .NET 6.0 
checkov -d ./src --support --hard-fail-on HIGH --framework sca_package --bc-api-key **************::************** --prisma-api-url https://api.prismacloud.io --output spdx --output json --output-file-path "SCA/" --repo-id "****/****" --branch "****"
## Package Information
PackageName: ag.framework.validators
SPDXID: SPDXRef-ag.framework.validators
PackageVersion: 1.2.0
PackageFileName: /Ag.Pmkt.Api.Test/Ag.Pmkt.Test.csproj
PackageDownloadLocation: NONE
FilesAnalyzed: true

## Package Information
PackageName: coverlet.collector
SPDXID: SPDXRef-coverlet.collector
PackageVersion: 3.1.2
PackageFileName: /Ag.Pmkt.Api.Test/Ag.Pmkt.Test.csproj
PackageDownloadLocation: NONE
FilesAnalyzed: true

## Package Information
PackageName: fluentvalidation.validators.unittestextension
SPDXID: SPDXRef-fluentvalidation.validators.unittestextension
PackageVersion: 1.11.0.2
PackageFileName: /Ag.Pmkt.Api.Test/Ag.Pmkt.Test.csproj
PackageDownloadLocation: NONE
FilesAnalyzed: true

...

With .NET 6.0, you are able to see package information from the csproj files. You can't with .NET 8.0.

Resolution


Derzeit unterstützen wir nur .NET 7.0 oder niedriger. Sobald das Zielframework dies erfüllt, kann Checkov die Dateien scannen.

Wir arbeiten derzeit an der Kompatibilität mit einer höheren .NET-Version.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDvBCAW&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language