- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在尝试对为创建二进制文件而编写的 C++ 代码进行强化静态分析。但是,此构建需要数小时(有时甚至超过一天)才能完成。
为了解决这个问题,我尝试通过创建一个伪造的存档作为目标来单独构建所有 .o 文件。我在这种方法中看到的优势是不需要构建不属于我们团队的代码,并且还节省了链接时间。当我这样做时,我们在构建时间方面看到了巨大的进步。
但是,我团队中的一个人认为这可能会导致误报和漏报,因为它错过了与我们所有权之外的代码的交互。他举的一个例子是,API 调用之间的共享对象对我们所有权之外的库。换句话说,我们将无法知道在您的域之外对对象的操作。但是,当所有文件所有者对其代码执行相同操作时,这不会得到处理吗?
请指教我的做法是否正确。
最佳答案
您的方法可能会导致误报,但更有可能导致误报,这更糟糕,和/或风险评级过低。
数据流分析器使用全局、过程间的污点传播分析来检测source(用户输入)和sink(危险函数调用)之间的数据流).
如果数据流分析器找不到接收器,则分析器将停止跟踪此污点传播并转移到另一个,从而错过漏洞(漏报)。
以下伪代码是PII 暴露 和SQL 注入(inject) 的示例:
public static void main(String args[]) throws Exception {
ResultSet results = SQLInj(args);
System.out.println(results.Password);
}
public static ResultSet SQLInj(String args[]) {
String query = "SELECT * FROM user_data WHERE last_name = '" + args[1] + "'";
Statement statement = connection.createStatement();
ResultSet results = statement.executeQuery(query);
}
源是main->args[],汇是SQLInj->executeQuery()。
如果函数 SQLInj 驻留在未扫描的代码中(不是您团队的代码),则不会发现 SQL 注入(inject)问题,因为数据流分析器永远找不到接收器。语义分析器可以通过查找“密码”一词找到 PII 暴露,但给出的置信度要低得多。
关于c++ - Fortify SCA 基于可执行文件或 .o 文件构建,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15063592/
SCA 有两个开源实现; Fabric3 和 Apache Tuscany。我无法在网上找到任何比较两者的东西。有什么经验吗?谢谢。 最佳答案 我们的项目需要 SCA,我做了一个 POC。简而言之,T
如何排除 Java 项目中的测试目录不被 Fortify sca 扫描。目录的结构如下 - /src/main/xyz/pqr /src/main/xyz/test/abc /src/test/xyz
我以前在这个应用程序中使用字符串,但后端开发人员所做的所有事情现在都改变了它们的实现,并通过 SCA 支持欧洲支付变更(支持 3D 安全身份验证),所以现在我需要在我的本地添加库代码,但我停留在这个地
最近,我们的团队选择了强化sca来扫描我们的项目。 我们的项目有两种类型的JavaEE(无EJB)和Android。 我们想将扫描步骤添加到CI步骤中。 因此,我添加了这样的脚本以在jenkins构建
我使用 sca-maven-plugin 为我的项目设置了一个 SCA 扫描设置,它是我从源代码构建并安装到我的本地存储库中的。我的构建是通过安装了 Fortify 的服务器上的 TeamCity
本文整理了Java中org.apache.tuscany.sca.xsd.XSDefinition类的一些代码示例,展示了XSDefinition类的具体用法。这些代码示例主要来源于Github/St
本文整理了Java中org.apache.tuscany.sca.xsd.XSDFactory类的一些代码示例,展示了XSDFactory类的具体用法。这些代码示例主要来源于Github/Stacko
我有订阅,我会在注册时收集卡详细信息并进行 7 天试用,此后订阅将按月计费。 据我了解,订阅 API 不符合 SCA。相反 off_session 付款意图必须 first be setup收集卡详细
我已经开始学习软件架构,并且遇到了这些术语 ESB 和 SCA。现在我发现这些术语很困惑,因为它们似乎服务于相同的目的(我知道这对于精通这些主题的人来说可能听起来很荒谬,但仍然如此)。 谁能解释一下区
在我的 jenkinsbuild 中,我有一个带有 Fortify SCA 插件的 Maven(v3.1.0) 项目。我正在搜索从 sca 测试中排除文件夹的命令以及该命令所属的位置。要测试的 Jav
关闭。此题需要details or clarity 。目前不接受答案。 想要改进这个问题吗?通过 editing this post 添加详细信息并澄清问题. 已关闭 2 年前。 Improve th
我目前正在将我的应用程序从使用 Stripe Charges API 迁移到使用 Stripe PaymentIntents API,以便遵守 SCA 法规。我的应用程序是具有定期计费模型的订阅服务,
我正在尝试对为创建二进制文件而编写的 C++ 代码进行强化静态分析。但是,此构建需要数小时(有时甚至超过一天)才能完成。 为了解决这个问题,我尝试通过创建一个伪造的存档作为目标来单独构建所有 .o 文
本文整理了Java中org.apache.tuscany.sca.common.xml.XMLDocumentHelper类的一些代码示例,展示了XMLDocumentHelper类的具体用法。这些代
我制作了一个 SaaS,允许客户订阅计划,并在结账阶段使用优惠券。优惠券为客户提供 X 个月的 X% 折扣,默认情况下,每个人在订阅时都会获得 7 天的试用期。 令我困惑的是文档。在一个部分中,它说您
我正在尝试将新的 Stripe SCA 结帐集成到我的 ruby on rails 应用程序中。我按照 bnwpro 写的说明 here开始。此时,我被重定向到 Stripe 支付页面,并在支付完
Fortify SCA 和 Fortify SSC 有什么区别。这些软件生成的报告有什么区别吗? 我知道 Fortify SSC 是一个基于 Web 的应用程序。我也可以将 Fortify SCA 用
我的Java-Maven项目是用Java 1.8实现的。我通过安装 Fortify 并在项目的 pom.xml 中添加依赖项,将 Maven 构建与 Fortify SCA 集成。但是,在扫描过程中,
覆盖率是否可以用于扫描 python 代码库。如果是,那么在 cov-build 命令中要给出什么输入?最好有完整的 cov 命令序列来扫描 python 代码。 最佳答案 假设您有一个如下所示的虚拟
Windows: 我在我的 Windows7 64 位机器上安装了 HP SCA 4.21,带有许可证和规则包。 我在同一台机器上下载了我的 iOS 项目。 然后我做了以下事情: 我打开AuditWo
我是一名优秀的程序员,十分优秀!