个人中心
文章发布
退出
作者热门文章
- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
26
4
我正在尝试将 Fortify Source Code Analyzer 用于我学校的一个研究项目,以测试开源 Java Web 应用程序的安全性。我目前正在研究 Apache Lenya。我正在使用最新的稳定版本 (Lenya v2.0.2)。
在根目录中有一个名为 build.sh 的文件。调用此文件以使用版本附带的 Ant 版本(在 tools/bin 文件夹中)构建 Lenya。当我运行 ./build.sh 时,我可以很好地构建 Lenya。因此,假设在 Fortify 中运行以下命令是可行的:
sourceanalyzer -b lenya -Xmx1200M touchless ./build.sh
但是,当我尝试运行时:
sourceanayzer -b lenya -Xmx1200M -scan -f lenya.fpr
我得到:
build id Lenya not found.
我查看了 buid.sh 文件并注意到它只是重置了当前的 ant home、classpath 和 ant options 变量,运行 ant build 命令,并将值重置回它们的值默认值。所以我手动重置所有变量(没有脚本)而不是运行脚本并运行:
sourceanalyzer -b lenya -Xmx1200M touchless tools/bin/ant -logger org.apache.tools.ant.NoBannerLogger
然后我跑了:
sourceanalyzer -b lenya -Xmx1200M -scan -f lenya.fpr
但是我得到了同样的错误。我不确定这是因为我做错了什么,还是 Fortify 做的不正确。任何见解都会很棒。
最佳答案
我不确定您是否可以访问 Fortify 文档,但这肯定会有所帮助。您应该引用 SCA 用户指南以了解如何使用 sourceanalyzer 可执行文件。
简而言之,有两种获取 FPR 文件的方法:
我更喜欢前者,因为它在处理大型代码库时具有可定制性。
PS:这是哪个版本的Fortify?
关于java - Fortify Source Analyzer 和 Apache Lenya,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1161101/
26
4
0
Fortify SCA 和 Fortify SSC 有什么区别。这些软件生成的报告有什么区别吗? 我知道 Fortify SSC 是一个基于 Web 的应用程序。我也可以将 Fortify SCA 用
关闭。这个问题需要多问focused 。目前不接受答案。 想要改进此问题吗?更新问题,使其仅关注一个问题 editing this post . 已关闭 5 年前。 Improve this ques
使用sourceanalyzer,如何在翻译过程中提供多个文件/路径排除项? 下面的示例来自:Fortify SCA exclude test folder\files /src/main/xyz/p
我们运行了 Fortify 扫描并遇到了一些访问控制:数据库问题。该代码正在获取文本框值并将其设置为字符串变量。在这种情况下,它将值从 TextBox 传递到数据库中的存储过程。关于如何解决此访问控制
对于我的 Controller 中的大多数操作方法,HP fortify scan 给我一条消息作为Mass Assignment: Insecure Binder Configuration (AP
我正在尝试获取一份报告,其中仅包含自上次扫描以来的最新问题,并且是在命令行中。例如: 扫描 1:5 个问题 扫描 2:8 个问题 我想要的:一份只显示最新 3 期的报告 到目前为止,这是我的命令: .
作为自动化运行安全代码分析过程的一部分,我有一个 Jenkins 作业,它使用 sourceanalyzer 命令行工具生成一个 .fpr 结果文件。目前,我正在 Audit Workbench 应用
Fortify Audit Workbench 是否有任何命令行选项可以让我将其放入 cron 作业并每天运行它? 扫描需要两个多小时,我希望它能连夜运行并在早上看到结果。 杰森 最佳答案 Audit
我有多个项目由一个父 pom 绑定(bind)。 如果我使用 Maven 强化插件在父 pom 上运行强化扫描,则会生成每个项目的 fpr 文件。我想为所有项目生成一个 fpr 文件。是否可以 ? 谢
全部,我正在尝试对代码存储库进行静态扫描,但 HP Fortify SCA 和应用程序 4.42 中的扫描向导不会为扫描创建批处理文件。 我可以添加项目根目录,然后系统会找到所有文件,大约 18,00
我们正在运行强化以检查安全漏洞和声纳以进行代码清理。 我想知道我们是否可以在 fortify 中启用静态代码分析并摆脱 sonar/pmd/findbugs 等。 我有一个 java 项目,将使用 f
翻译和扫描目标适用于我们正在扫描的项目。 但我们仍在手动进行合并;即我们搁置最后一次扫描的 .fpr 文件并通过 Maven 再次运行扫描,然后使用 Fortify Workbench 合并两个 .f
我想知道用于获取强化网站中所有漏洞的 REST API。 就像我可以通过点击' https://fortifyssc.xxx.com//api/v1/projects?q=id 来获取应用程序的详细信
我需要使用 Fortify 检查在我的项目中使用的第三方库中的漏洞(如果有)。 对于一些第三方库,我无法访问他们的源文件。我只有随附的 .jar 文件。 是否可以在 .jar 文件上运行 Fortif
我一直在尝试研究这个问题,而我有限的编译经验阻碍了我解决这个问题的能力。 基本上,我有一些代码是用 Qt Creator 编写的,然后用这些构建步骤构建: qmake.exe [project nam
我使用 HP Fortify SCA 4.10 进行扫描。现在我想将原始结果导出为 Excel 格式以进行数据按摩以生成数据透视表。任何人都可以建议一种简单或困难的方法来做到这一点。 最佳答案 引用此
使用 Fortify Audit Workbench 应用程序出现以下错误: [错误]:解析 *.js 时出现意外异常com.fortify.sca.analyzer.a:没有足够的内存来完成分析。有
我创建了一个默认的 .Net Core 1.0.1 类库并更改了 project.json 中的 buildOptions 以包含 debugType:“Full”。我使用 16.11 使用了集成的
我有一个在 AWB 中打开的 Fortify FPR 扫描文件。我想生成一份报告,其中包含发现问题的所有实例。当我生成报告时,它会按类型及其计数生成问题报告,在类型下方,我还会获取发现问题的某些文件的
我们如何使用命令生成 FortiFy 报告???在 Linux 上。 在命令中,我们如何仅包含一些文件夹或文件进行分析,以及如何提供存储报告的位置。等等。 请帮忙.... 谢谢, 卡尔蒂克 最佳答案
我是一名优秀的程序员,十分优秀!