Prisma Cloud Application Security: Checkov は、csproj ファイルで .NET Framework 8.0 を使用して Azure Repos をスキャンすると空の結果を返します

Prisma Cloud Application Security: Checkov は、csproj ファイルで .NET Framework 8.0 を使用して Azure Repos をスキャンすると空の結果を返します

263
Created On 08/16/24 16:00 PM - Last Modified 04/22/26 19:39 PM


Symptom


Azure ディレクトリをスキャンしていて、リポジトリのパッケージ情報を詳細に示す csproj ファイルが複数あるとします。

これらのファイル内のターゲット フレームワークが「net 6.0」の場合、Checkov はリポジトリを正常にスキャンし、パッケージ情報を表示します。リストされているフレームワークが「net 8.0」の場合、Checkov は空の結果を生成します。

.csproj ファイル内のターゲット フレームワークの指定:
.csproj ファイルで指定されたターゲット フレームワーク

Environment


  • プリズマクラウド
  • マイクロソフトアジュール
  • チェーホフ

Cause


In the .csproj files, the target framework specified is "net 8.0". In other file, it's "net 6.0".

When running a Checkov scan on both files, the file with framework "net 6.0" works fine. However, "net 8.0" produces empty scan results.

.NET 8.0 の使用 
checkov -d ./src --support --hard-fail-on HIGH --framework sca_package --bc-api-key **************::************** --prisma-api-url https://api.prismacloud.io --output spdx --output json --output-file-path "SCA/" --repo-id "****/****" --branch "****"
{
"passed": 0,
"failed": 0,
"skipped": 0,
"parsing_errors": 0,
"resource_count": 0,
"checkov_version": "3.2.219"
}

--- OUTPUT DELIMITER ---

## Document Information
SPDXVersion: SPDX-2.3
DataLicense: CC0-1.0
SPDXID: SPDXRef-DOCUMENT
DocumentName: checkov-sbom
DocumentNamespace: https://spdx.org/spdxdocs/checkov-sbom-3.2.219-454a024b-d83b-4152-bf58-8e26789deb93

## Creation Information
Creator: Tool: checkov
Creator: Organization: bridgecrew (meet@bridgecrew.io)
Created: 2024-08-09T16:47:05Z

.NET 6.0 の使用 
checkov -d ./src --support --hard-fail-on HIGH --framework sca_package --bc-api-key **************::************** --prisma-api-url https://api.prismacloud.io --output spdx --output json --output-file-path "SCA/" --repo-id "****/****" --branch "****"
## Package Information
PackageName: ag.framework.validators
SPDXID: SPDXRef-ag.framework.validators
PackageVersion: 1.2.0
PackageFileName: /Ag.Pmkt.Api.Test/Ag.Pmkt.Test.csproj
PackageDownloadLocation: NONE
FilesAnalyzed: true

## Package Information
PackageName: coverlet.collector
SPDXID: SPDXRef-coverlet.collector
PackageVersion: 3.1.2
PackageFileName: /Ag.Pmkt.Api.Test/Ag.Pmkt.Test.csproj
PackageDownloadLocation: NONE
FilesAnalyzed: true

## Package Information
PackageName: fluentvalidation.validators.unittestextension
SPDXID: SPDXRef-fluentvalidation.validators.unittestextension
PackageVersion: 1.11.0.2
PackageFileName: /Ag.Pmkt.Api.Test/Ag.Pmkt.Test.csproj
PackageDownloadLocation: NONE
FilesAnalyzed: true

...

With .NET 6.0, you are able to see package information from the csproj files. You can't with .NET 8.0.

Resolution


現時点では、.NET 7.0 以下のみがサポートされています。ターゲット フレームワークがこれを満たすと、Checkov はファイルをスキャンできるようになります。

現在、より高い .NET バージョンとの互換性を確保するために取り組んでいます。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDvBCAW&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language