Много отговори твърдят, че няма смисъл да има src/main/webapp
като папка източник, тъй като JSP файловете се компилират от контейнера, а не от maven по време на цикъла на изграждане.
Въпреки това има смисъл, когато правите тестове за сигурност:
Някои инструменти за сканиране на сигурността предоставят плъгини, които могат да бъдат интегрирани в IDE, така че екипите за разработка да могат локално да сканират кода си и да поправят основните уязвимости на своята машина, като по този начин намаляват количеството работа за екипите по сигурността, които следователно могат да работят върху по-напреднало тестване.
Фактът, че Eclipse изключва тази конкретна директория, е огромен проблем: като правят това, инструментите за сигурност няма да включат по подразбиране директорията webapp/
в процеса на сканиране, което води до фалшиви отрицания (действителни уязвимости, които не са не се отчита от инструмента). След това това поведение кара екипите за разработка да мислят, че техните JSP страници (например) са безопасни от гледна точка на сигурността.
Ако екипите за тестване на сигурността не обръщат внимание на сканиранията, извършвани от екипи за разработка (понякога дори не можем да проверим кои сканирания са извършени локално), продуктът е по-вероятно да бъде пуснат с уязвимости в кода, съдържащ се в папката webapp/
.
Следователно това поведение няма смисъл от гледна точка на сигурността и хората, които твърдят, че има смисъл, пропускат някои точки.
Във всеки случай реших този проблем, като добавих папката src/main/webapp/
към пътя за изграждане, като щракнете с десния бутон върху нея в package explorer
--> build path
--> use as source folder
person
Maxime Flament
schedule
04.04.2019