问题标签 [fortify]

可以修改 Fortify Eclipse 颜色模式吗？

我在这个路径找到了一些文件

这看起来像 Eclipse 用来定义代码颜色的颜色，但无法找到成功修改它们的方法。

更新：强化版本是“Audit Workbench 3.50”。它使用 Eclipse 代码编辑器来显示代码，但它不是 Eclipse 插件。我发现他们使用 Eclipse 自定义外观和感觉的相同文件，但未能成功修改它们。

我正在使用 Fortify 对我们的 cSharp 应用程序之一进行安全扫描，并且在“生成中间文件”时需要数小时，我不确定它是否挂起或真的在做某事。真的需要这么长时间吗？

我正在尝试在 VS2010 C++ 项目上运行 fortify。我创建了一个非常简单的 hello world 项目并尝试使用以下命令运行 fortify：

sourceanalyzer.exe -b sample devenv sample.sln /REBUILD

我不断收到此错误：

C:\Program Files (x86)\MSBuild\Microsoft.Cpp\v4.0\Platforms\Win32\Microsoft.Cpp.Win32.Targets(147,5): error MSB6006: "CL.exe" exited with code -1073741701.

完整的构建日志是：

我没有收到任何其他错误。我的操作系统是 Windows7 64 位。我的项目是一个 32 位控制台应用程序。我正在使用 fortify 32 位版本：“Fortify Source Code Analyzer 5.9.5.0007”

我尝试浏览微软页面以查找错误，但它显然是一个通用错误代码。我怀疑不兼容，但无法缩小范围。你能告诉我哪里出错了吗？

更新：更多信息：

配合VS2010的cl.exe，运行清晰。该错误是由 Fortify 的 cl.exe 引发的。我检查了错误代码，显然 cl.exe 无法启动。我与dependency walker交叉检查，它缺少几个dll（gpsvc.dll和IEShims.dll）。我有一个 64 位的 Windows 安装，但 cl.exe 是 32 位的，我没有这些 DLL 的 32 位版本。我不确定这是否是根本原因，因为它们是延迟加载的，可能不会导致提到的错误。

我一直在为我的应用程序使用 PMD 和 Findbug，但 fortify 设法检测到我的应用程序中的一些安全漏洞。我想知道是否有其他开源软件可以完成与 Fortify 类似的工作？

可能重复：
如何从 Fortify 扫描报告中修复以下代码示例的“路径操作”问题

Fortify 在 where 在线给出路径操作错误new FileWriter(psPath + psFileName + psExtension, false)。

谁能告诉我如何解决这个问题，以便 fortify 不会给出这个错误？

下面的简单 java 代码得到 Fortify Path Manipulation 错误。请帮我解决这个问题。我挣扎了很久。

我正在使用 Fortify SCA 来查找我的应用程序中的安全问题（作为大学作业）。我遇到了一些我无法摆脱的“Log Forging”问题。

基本上，我记录了一些来自 Web 界面的用户输入值：

Fortify 将此报告为日志伪造问题，因为getRecordId()返回用户输入。

我已经关注了这篇文章，我正在用空格替换“新行”，但问题仍然存在

任何人都可以提出解决此问题的方法吗？

我很好奇 Fortify 规则集在 Android 应用程序中寻找哪些漏洞。不幸的是，我找不到任何相关文档。我知道他们会四处寻找 Java 特定的漏洞以及组件的权限检查——还有什么？SQL注入检查？意图检查？

我试图编写一个强化规则，它只检查一个函数并在函数出现时标记它。我使用以下代码创建了一个 java 文件：

我写的强化规则的目的是检测getErrorCode内部的任何出现DialogError并标记相同的。

我究竟做错了什么？

我在一个 java 项目上使用“HP Fortify v3.50”，我在“Null Dereference”上发现了很多误报，因为 Fortify 没有看到对 null 的控制是在另一种方法中。如何减少误报并保持规则？

这是一个 POC

结果：