问题标签 [fortify]

我使用 Fortify SCA 扫描了我的源代码

我在检查 Fortify 报告时遇到了ASP.NET MVC Bad Practices: Controller Action Not Restricted to POST (API Abuse, Structural)错误

Fortify 发现高级错误说

但我看了那行代码。它包含

属性。

是假阳性还是假阳性？

我正在使用 Fortify 静态代码分析来分析我们的软件。Fortify 报告说我们有一个跨站点脚本漏洞（反映），而我认为我们实际上并没有这样做。

我可以尝试与我的客户争论这一点，以说服他们这是安全的（没有人愿意做的事情，因为它需要审计）或者让 Fortify 高兴；

我从 ASP.NET 中的请求中获取了一个表单参数，然后“手动”（不使用 API）对其进行转义（转义任何换行符、\ 字符、引号并删除任何脚本标签）。然后我将它转储回浏览器

强化抱怨，除非我这样做

但这意味着要使用 Javascript var 'enteredText' 我必须使用 Javascript 对其进行 HTML 解码，这意味着我的应用程序上还有 10k 的代码（除非我错了）。在这种情况下，<> 和实体的整个编码和解码都是多余的，不是吗？

我怎样才能安抚Fortify？

相关问题：强化命令行使用

我想对我的 .NET 解决方案执行夜间 Fortify 扫描，由 TeamCity 的命令行运行程序触发。我想将我自己的自定义结果摘要发布到网页上。

我想要的关键信息是每个关键级别的问题数量。

我以前使用 -f 命令行开关与 Audit Workbench 客户端一起使用，但生成的 .FPR 文件看起来很难手动解析和解释。

我正在使用Fortify Static Code Analyzer 5.15.0.0060，但似乎没有-format可用于指定文本的选项。

有没有办法获得扫描发现的问题的数量？

我有几个项目需要扫描并将它们的 fpr 文件上传到 360 服务器。项目的 pom 文件包括用于 maven 的 Fortify SCA 插件并使用相同的 authToken。fpr文件上传成功了一段时间，但最近失败了。当我从命令行运行以下命令以尝试列出 authtoken 有权访问的项目时，我收到并“拒绝访问”：

我知道有一个 daysToLive 选项可以在生成令牌期间使用，以指定令牌有效的天数。我想我读到默认值为 30 天。我想（并尝试过）使 daysToLive 变大，以避免需要不断生成新令牌并更新所有项目 pom 文件。所以我的问题是：

生成新的身份验证令牌时，daysToLive 选项是否有最大限制？

谢谢

您好我正在尝试使用 maven 从 fpr 文件生成 PDF 报告。谁能告诉我是否有可用的插件？

以下是我想要实现但来自 maven 的输出。命令提示符中的命令：“ReportGenerator -format pdf -f outputFile.pdf -source dev-rkm-KMS-aggregate.fpr”

谢谢

如何排除 Java 项目中的测试目录被 Fortify sca 扫描。目录的结构如下 -

我想排除名为 test 的文件夹下的任何文件被扫描。我不确定如何使用 -exclude 命令行参数来实现这一点。

我有一个 Phonegap 应用程序，它只是一个响应式 Web 应用程序的浏览器外壳，而 Fortify 安全扫描的结果显示了大量的关键和高风险。

我在 Google 上找不到太多帮助，所以除了尝试重写一些 Phonegap 源之外，还有什么可以做的吗？

如此有声望的框架会引发如此多的危险信号，这似乎很奇怪。我添加的代码被限制在几行之内，我能做的不多，所以大部分似乎源于框架的源代码。

按强化优先顺序排列的问题 低 145 高 127 严重 2

我使用过滤器来修复 XSS。但是当我使用 fortify 软件扫描我的代码时，XSS 问题的数量并没有改变。我错过了什么？或 Fortify 无法识别过滤器？这是我的过滤器代码：

}

我为我的应用程序生成了 Fortify 报告。在 Fortify 报告中，它在以下代码中显示了日志伪造问题：

根据一些人的建议，我已将“/n”替换为“ ”，将“/r”替换为“ ”，但问题仍未解决。

谁能告诉我如何解决这个问题？

提前致谢。

我的上传令牌已过期并在执行时

我收到

我会展示其余的，但它是大约。200 行。上次发生这种情况时（90 天前），我使用了 ./fortifyclient 的 4.00 版本，它工作正常。有什么建议么？