问题标签 [fortify]

我想编写一个强化规则，在 android 代码库中查找“addJavascriptInterface”的实例。

当我尝试针对代码库运行 fortify 时，我得到以下信息：-

所以我尝试按如下方式运行强化：-

警告消失了，但规则似乎仍然没有触发——可能出了什么问题？

编辑为清楚起见，WebViewTest 是一个使用 addJavascriptInterface 的示例项目。

EDIT2 为清楚起见添加了一些代码

EDIT3 我对此进行了一些尝试，最终得出结论，在我的特定情况下，语义规则不会触发，直到它看到在同一文件中的类中定义的函数。获取 android 源并复制 WebView.java 的源会导致规则触发（这是一件可怕的事情，但我只是在玩耍）。

Fortify是一种 SCA，用于查找软件代码中的安全漏洞。我只是好奇这个软件在内部是如何工作的。我知道您需要配置一组运行代码的规则。但是它究竟是如何找到代码中的漏洞的。

有人对此有任何想法吗？

提前致谢。

我正在使用强化软件 v3.20，它似乎与 VS 2012 不兼容。

如果是，最新版本是否适用于 VS 2012？

谢谢。

使用 Fortify 扫描我的项目时出现一系列错误：

[警告]：PHP 前端无法解析以下包括：位于 main.php:174 的 Mail.php。[警告]：将 php.ini 文件传递​​给 SCA 可能会有所帮助，因此可以检查 include_path 指令。[警告]：解析文件 (javascript) index.php 时出现意外异常：第 2 行第 17 列解析错误。遇到：_ffy_tag

我尝试将我的 PATH 添加到 Windows 的“环境变量”中的 PEAR 目录中。但还是会出错。

不确定如何执行此操作“将 php.ini 文件传递​​给 SCA 可能会有所帮助，因此可以检查 include_path 指令。” . 我尝试启动扫描向导并在扫描中包含 php.ini 文件，但它仍然会产生错误。

我在代码中包含了完整路径，错误切换到“[警告]：PHP 前端无法解析以下内容：RFC822.php:198 处的 PEAR.php。”

所以真的我的问题是我如何“将我的 php.ini 文件传递​​给 SCA”？任何建议都会非常有帮助。

谢谢，

汤姆

只是一个旁注我的 php.ini include_path 确实包含我的目录。

加强自定义规则以检查是否调用了单例类的方法。此规则会引发警告问题，例如，如果有任何调用

如果您能以任何方式帮助我，我们将不胜感激！

是否可以从现在删除的文件中删除（而不是标记removed）问题？

我尝试在扫描时从项目翻译中排除文件，但没有帮助。现在，当这些文件被删除时，我不想在 Fortify 项目中看到它们的问题。

顺便说一句，我使用的是 HP Fortify 3.70。

我想查看 Fortify 安全编码规则的具体规则（Fortify 默认使用的规则），因为我想写一份关于 Fortify 使用的所有规则的报告：

• 我试图在其中看到它们，C:\Program Files\Fortify Software\HP Fortify v3.60\Core\config\rules但我找到了.bin文件，但我看不到它们。
• 我也打开AuditWorkbench了，在安全内容管理中我也看不到它们。

有什么办法可以看到吗？？谢谢你的帮助。

我在 Fortify SourceAnalyzer 中看到以下警告，用于我的类，它实现了ISerializer接口IDeSerializer：-

“缺少 SecurityManager 检查：可序列化”。

这是一个安全漏洞，因为如果您正在序列化一些敏感数据并在类的构造函数中放置了安全管理器检查以避免未经检查地创建新对象实例。您必须覆盖 write 方法并将相同的安全管理器检查放入 write 方法中。（因为有些人仍然可以从序列化字节创建一个新实例，因为没有 java 控制从序列化字节创建的对象，它只会反序列化这些字节，所以避免的唯一方法是在写入中放置相同的安全管理器检查方法）。

如果我正在序列化一些敏感数据并将安全管理器检查放在构造函数中，上述解释就很好了。但是，如果我有不敏感的数据并且我想在没有任何安全管理器检查构造函数的情况下对其进行序列化。我仍然从 Fortify 报告中得到了上述警告。我不确定如何消除此警告，这是 Fortify 工具中的错误还是我遗漏了什么？

注意：- 我不希望任何安全管理器检查我的构造函数。

我遇到了这个问题......在使用 xcodebuild 分别成功构建 iOS 6.0 (Xcode 4.5) 项目后，sourceanalyzer 首先报告缺少几个类的 .nst 文件，包括 stdarg.h 和类似文件。似乎 sourceanalyzer 看不到 iPhone SDK 的标头搜索路径。然而，Fortify 似乎如此罕见，以至于我还没有找到任何答案，尤其是关于与各种 Xcode 版本的兼容性等方面。有人吗？

输出：

我们在一个团队中工作，并在本地机器上运行 Fortify 软件。我们都在不同的根目录中设置了项目代码，例如我在 C:\work\development\ 有项目代码，我的几个同事有 C:\Development\mainCodeLine\ 等类似的东西，即项目所在的根文件夹-代码所在的位置不同。最初只有我在 Fortify 上工作，但现在团队中有很多成员在运行 Fortify。我们目前共享保存在存储库中的 FPR 文件。我们从存储库下载它并在同一文件上运行 SCA 命令，以保留隐藏/抑制问题等详细信息。在一段时间内，我们观察到：

1. 生成的唯一实例 ID 仅在单台机器上是唯一的。即，唯一实例 ID 仅在我的机器上扫描时保持不变，并且在我队友的机器上进行扫描时它会改变。有什么方法可以配置 Fortify 在多台机器上的多次扫描中保持相同？因此，我们不能在过滤器文件中使用唯一实例 ID。

2. 如果我和我的队友在 2 台不同的机器上以相同的代码并行运行扫描（如前所述，只有项目的根目录不同），那么我们有什么办法可以整合这 2 份报告？