问题标签 [fortify-source]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
c - Linux 上是否有替代 gcc stack-protector / fortify source 功能的库?
是否有外部库/方法/要添加的任何内容
- 金丝雀保护(堆栈保护器等效)
- 额外的缓冲区边界检查(强化源等效)
不使用 glibc / gcc (stack-protector/fortify source) 内置功能的 C 软件?
android - libssl 和 libcrypto 的未定义参考错误
我正在使用 android-4.4_r1 (KRT16S) 构建 Android 平台。我可以毫无问题地将源代码(这是一个大项目)编译成 *.so 文件。
如果我尝试将源代码构建为命令行可执行文件include $(BUILD_EXECUTABLE)(基本上只是用命令行界面包装库),我在链接时遇到以下错误:
我在这里和这里看到过对这个问题的引用,但我不知道如何解决它。我是否需要以不同的方式构建 openssl 才能在可执行文件中工作?
更新
这就是我构建 openssl 的方式:
- repo init -u https://android.googlesource.com/platform/manifest -b android-4.4_r1.2
- 回购同步
- 源构建/envsetup.sh
- 午餐full_flo-eng
- cd 进入 openssl 目录
- 毫米-B
我没有听从任何外界的指示。我只是使用了 repo 中提供的内容。
c - 缓冲区溢出示例适用于 Windows,但不适用于 Linux
在我正在阅读的书中,软件驱魔,有这个缓冲区溢出的示例代码:
我可以通过指定使用 Visual Studio 2010 在 Windows 中使用它
- 基本运行时检查 -> 未初始化的变量
- 缓冲区安全检查 -> 否
使用这些编译选项,我在运行时会得到这种行为:
我的问题是关于无法在 Linux 上运行的代码。有什么明确的原因吗?
关于我尝试过的一些信息:
我尝试使用 32 位 Ubuntu 12.04(从此处下载)运行它,使用以下选项:
得到:
在 64 位 CentOS 6.0 中,具有以下选项:
得到:
Linux 环境中是否有一些根本不同的东西,这会导致示例无法正常工作,或者我在这里遗漏了一些简单的东西?
注意:我已经完成了相关问题,例如this one和this one,但找不到任何对此有帮助的东西。我不认为这是以前问题的重复,即使它们有很多。
fortify - 如何消除sca中的警告
我是源分析器的新手。这些是警告
fortify - Fortify 扫描结果可以保存到文件中吗?
我可以将强化扫描结果保存到文件中,以便发送给某人进行分析吗?
jenkins - 如何使用 gradle 或 Running Fortify from Gradle build on Jenkins 运行 HP fortify 扫描
我正在使用以下代码使用 Gradle 运行 fortify,但是此代码需要时间来生成报告,我不确定如何优化此脚本以更快地运行,如果有人可以帮助我优化此脚本,那就太好了
java - 文件名的路径操作错误修复
我有一段代码,我必须在其中读取文件以获取其可能的内容。
我遇到了同样的路径操作错误。
PFB 代码:
java - 加强与 Maven 的集成 - 安装
我想对 Maven Eclipse 项目运行 Fortify 扫描。
我应该从哪里开始?
我了解我需要更新我的pom.xml文件以包含 Fortify 插件,但是我是否还需要在我的计算机上安装 Fortify SCA?(我正在运行 MacOS X)。我一直在寻找下载 Fortify SCA 的地方,但一直找不到。
如果有人可以分享一些链接来为我指明正确的方向以完成设置,我将不胜感激。
gradle - 用于 gradle 的 Fortify 插件
我一直在对一些 Java 组件运行强化扫描。以下是遵循的一般步骤: 对于 java 项目:
- mvn com.fortify.ps.maven.plugin:sca-maven-plugin:4.30:clean
- mvn install -DskipTests -DSTABILITY_ID=1 -DRELEASE_NUMBER=0 -DBUID_ID=1
- mvn -Dfortify.sca.debug=true -Dfortify.sca.Xmx=1800M -Dfortify.sca.Xss=5M -DSTABILITY_ID=2 -DRELEASE_NUMBER=2 包 com.fortify.ps.maven.plugin:sca-maven-plugin: 4.30:翻译
- sourceanalyzer -b build_id -Xmx1800M -Xss4M -scan -f build_id_results.fpr -logfile scan.log -clobber-log -debug-verbose
生成此 fpr 文件并上传到服务器后。
现在我必须对使用 gradle 的组件做同样的事情。我将不得不使用哪些命令来生成 fpr 文件。
fortify - Fortify:访问控制数据库相关问题
我们一直在代码中使用 fortify 工具来检查安全漏洞。我们能够解决大部分问题,但有些问题我们发现很难解决。其中一个与访问控制数据库相关的问题有关。我们在代码中使用休眠标准从数据库和 foritfy 中获取记录抱怨从数据库获取并放入程序的数据来自不受信任的来源。下面是相同的代码
有没有一种方法可以表明数据确实来自可信来源?
谢谢