我需要使用 Fortify 检查在我的项目中使用的第三方库中的漏洞(如果有)。
对于一些第三方库,我无法访问他们的源文件。我只有随附的 .jar 文件。
是否可以在 .jar 文件上运行 Fortify?我在大多数文档中只能找到 Fortify 可以在 .java 文件上运行,如下所示:
sourceanalyzer -b MyProject -cp "lib/ .jar" "src/ */*.java"
问问题
10569 次
2 回答
6
您可以比 LaJmOn 的建议做得更好,并自动打开罐子。
例如:
sourceanalyzer -b apple -source 1.6 -Dcom.fortify.sca.fileextensions.jar=ARCHIVE /System/Library/Frameworks/JavaVM.framework/Home/lib/ext/apple_provider.jar
于 2013-05-17T17:08:38.953 回答
4
您可以使用以下命令强制 SCA 扫描类文件:
sourceanalyzer -b MyProject -source "1.6" -cp "{source_path}/**/*.jar" -scan -f MyProject.fpr -Dcom.fortify.sca.fileextensions.class=BYTECODE -Dcom.fortify.sca.DefaultFileTypes=class "{source_path}/**/*.class"
如果我没记错的话,您需要将包含要扫描的类文件的 JAR 文件分解到 {source_path} 中。
与 Java 源扫描相比,结果不会那么引人注目,但您应该会得到一些结果。
于 2013-05-01T16:43:28.473 回答