问题标签 [fortify-source]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
gcc - D_FORTIFY_SOURCE=2 选项对我不起作用
我看到 GCC 4.5 及以上版本应该支持 –D_FORTIFY_SOURCE=2 选项。但它对我不起作用,它已被忽略,并且在我使用时它不会报告问题。
使用的编译器版本是“g++.c4.5.3-p0”,会忽略这个选项吗?
fortify - 从强化扫描中排除特定文件或文件类型
如何从强化扫描中排除特定文件或文件类型(如 config 或 xml)。
感谢您的回复。
问候
阿卜杜勒
fortify - 访问控制:缺少身份验证(强化)
我正在处理一个强化问题,该问题表示网站或 Web 应用程序的任何区域包含敏感信息或对特权功能(如远程站点管理)的访问都需要在允许访问之前进行身份验证。URL ~FullURL~ 未通过此策略。
如果有人遇到类似问题,请告诉我
问候
linux - strncpy 被 __strncpy_chk 替换并失败
我有一个声明
在我的应用程序中,它本身很好并且运行良好。这里 data->m_bin->data 是一个字符,调用应用程序确保它后面跟着一个数据块,该数据块大到足以保存 strncpy() 传递的所有数据。
但是当我使用 GCC/Linux 将其构建为发行版时,此函数在 __strncpy_chk() 中崩溃。因此,似乎我的 strncpy() 被 __strncpy_chk() 替换,参数 s1 使用了错误的长度。
那么如何确保 __strncpy_chk() 以正确的 s1 长度调用?
谢谢!
fortify - filterset 特定规则如何强化 SCA?
我想使用过滤器集或任何其他方式将一条规则移至误报。我不想像下面的案例那样移动整个规则。“密码管理:硬编码密码”有一条规则我想移动线程“私人字符串密码;” 误报的行不是“Password="sample123"”;这是真正的线程。我试图 AWB 创建过滤器,但没有一个匹配像这种类型的逻辑。如何仅过滤规则特定条件?
fortify - Fortify Audit Workbench add a comment under Issue summary using command line
Fortify seems to have some good command line support to scan and generate a report. Although the utilities do not seem to include an option to add a comment under Issue summary for a particular issue using command line.
Was wondering if there is an option for that and I am just missing seeing it. We audit a bunch of files on a regular basis and it would be quite handy to be able to add comments to a particular issue in a FPR using command line.
fortify - 如何解决 Fortify 19.1 内存不足错误?
我正在使用 fortify 来扫描 python 和 php 代码库。sourceanalyzer 抱怨内存不足。我现在有 8 GB。我打算升级到 16 GB。
我的问题是我应该在升级后使用 -Xmx 选项。文档说 fortify 为自己优化内存分配,使用 -Xmx 比默认内存分配 (-autoheap) 带来更好的性能
编辑
升级到 32 GB RAM 后,fortify 抱怨内存不足。从日志
由于 JVM 垃圾收集,扫描进度变慢,这可能表明内存不足。有关提供更多内存的详细信息,请参阅用户手册。
[错误]:没有足够的可用内存来完成分析。有关提供更多内存的详细信息,请参阅用户手册。
我在翻译步骤中添加了 -Xmx26G 和 -disable-language javascript。
不确定可以进行其他优化吗?任何指针表示赞赏。代码库是python、js和php。
c++ - gcc FORTIFY_SOURCE 大幅增加二进制大小
我们有一个非常大的 C++ 代码库,我们希望使用带有“FORTIFY_SOURCE=2”选项的 gcc 进行编译,以提高安全性并降低缓冲区溢出的风险。问题是当我们使用 FORTIFY_SOURCE 编译系统时,二进制大小急剧增加。(从总共 4GB 到超过 25GB)当我们需要部署代码时,这会导致问题,因为压缩和部署它需要 5 倍的时间。
为了弄清楚发生了什么,我制作了一个简单的测试程序,它使用strcpy(其中一个函数 FORTIFY_SOURCE 应该在使用和不使用“FORTIFY_SOURCE”的情况下增强和编译它)执行一堆字符串副本。
汇编:
和
我发现在一个简单的示例中使用“FORTIFY_SOURCE”对二进制大小没有明显影响(生成的二进制文件是 8.4K,有和没有加强源。)
当一个简单的例子没有明显的影响时,我不希望在更复杂的例子中看到如此急剧的大小增加。FORTIFY_SOURCE 可能会做些什么来大幅增加我们的二进制大小?
c - GCC 没有启用 D_FORTIFY_SOURCE,即使设置了优化标志 (-O2)
我最近阅读了 D_FORTIFY_SOURCE 以及它对易受攻击的函数所做的更改。我想弄乱它,因此制作了一个小的测试二进制文件。
测试二进制源代码是:
它并不打算做任何事情,只是为了尝试对 printf 的保护。
但是,当我编译程序时,它似乎并没有“强化”
确切的 gcc 命令是:
我确保设置了优化标志,但标准的 printf 函数仍然存在。GDB 给出了 main 的汇编:
在这里,我希望调用 printf_chk@plt,但它却调用了 printf@plt。为了确保这一点,我运行了程序,并给它输入了 %3$x,它运行良好而不是停止。
我的问题是,为什么 GCC 没有正确实现 D_FORITFY_SOURCE,即使设置了优化标志?
帮助表示赞赏
bitbucket - Fortify 不存在 bitbucket repo 自动扫描
当我们使用 fortify 进行静态代码分析时,我们遇到了一个问题,即我们的 Bitbucket 存储库中不存在代码库,我们通过将 .fpr 文件复制并上传到前端 fortify 服务器来进行手动扫描。
那么,如何让 fortify 扫描服务器添加/构建一个用于扫描的新项目,如果它之前在 bitbucket 中不存在,就像我上面提到的情况一样。