问题标签 [fortify]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
sql - 从 HP Fortify 安全中心检索扫描结果
我正在尝试提供一种综合方法来检索 HP Fortify 安全中心中每个项目的上次扫描结果。
我已经走了查询 fortifySSC 数据库的路线,但有点不足。有没有人尝试过通过 SQL 查询来做到这一点?
如果需要,我很乐意提供迄今为止的查询。
或者,如果有人对如何通过命令行完成此操作有想法,我也会对此感兴趣。
在此先感谢您的帮助!
jsp - 加强跨站点脚本:验证不佳
我已经使用 JSTL 标签修复了 Fortify 在我的 JSP 上报告的 XSS 漏洞问题。但是使用后,虽然 XSS 漏洞问题得到了解决,但它导致了一个新问题,即“XSS:验证不良”。我可以实施哪些其他可能的解决方案来解决这个糟糕的验证问题?
Fortify 建议 HTML/ XML/ URL 编码不是一个好的做法,因为代码将在运行时被解码,这仍然可能导致 XSS 攻击。
我正在使用注入spring的struts框架。我有用户可以提供输入的字段以及从数据库中读取的字段。我已经搜索了可能的解决方案,但还没有找到任何解决方案。
谢谢,迪娜
c++ - Fortify SCA 在可执行文件或 .o 文件上构建
我正在尝试对为创建二进制文件而编写的 C++ 代码进行强化静态分析。但是,此构建需要数小时(有时甚至超过一天)才能完成。
为了解决这个问题,我尝试通过创建一个假存档作为目标单独构建所有 .o 文件。我在这种方法中看到的优点是代码不属于我们的团队,不需要构建,也节省了链接时间。当我这样做时,我们在构建时间方面看到了巨大的收益。
然而,我团队中的一个人认为这可能会导致误报和漏报,因为它错过了与我们所有权之外的代码的交互。他举的一个例子是关于 API 调用之间的共享对象到我们所有权之外的库。换句话说,我们将无法知道您域之外的对象的操作。但是,当所有文件所有者都为他们的代码做同样的事情时,这不会被处理吗?
请告知我的方法是否正确。
java - 缺少罐子会影响 Fortify 扫描结果吗?
我正在尝试.java使用 Fortify 静态代码分析扫描纯文件,并且经常收到一条错误消息,指出我没有包含完整的 jar 列表。
“无法解析以下对 java 类的引用。请确保将包含这些类的所有必需 jar 文件提供给 SCA。”
我的问题是它会影响扫描结果吗?这个警告需要认真对待吗?(因为我的扫描仍在继续;)
visual-studio-2010 - 如何自定义 Fortify Visual Studio 插件
我对 HP Fortify SCA 工具非常陌生。我安装了 Visual Studio 2010 的 Fortify 插件。现在,如果我开始分析代码,它将包含该解决方案中的所有项目。但是我有很多我想从分析中排除的测试项目。如果有人知道如何自定义需要包含在分析中的项目列表。
c# - c#中的空解引用控制
经过一些关于“空取消引用”的测试后,下面的代码可以“取消引用空指针,从而引发 NullException”。
(validateControl as WebControl).CssClass 可以在上面使用时为空吗?
结果可在 Fortify 生成的文档中看到。
static-analysis - HP Fortify 审计工作台
我正在尝试使用 HP Fortify 静态代码分析器来分析大型 C 应用程序中的安全问题,并且我在软件本身中遇到了各种错误,我似乎无法在 Internet 上的任何地方找到任何答案。我正在使用该软件的 3.4 版并在 Linux x64 系统上运行它。
我遇到的使该产品很难使用的主要错误是,在其 Audit Workbench GUI 的各个不同位置,该程序将无缘无故关闭。一个例子是,每当弹出窗口显示向您提问并且您对问题的回答只是通过单击关闭按钮或取消按钮关闭弹出窗口时,整个程序结束而不是返回您到您最初获得弹出窗口时所在的位置。另一个例子是,当我尝试打开规则编辑器时,无论是针对新规则包还是现有规则包,程序都会打开一个进度窗口,其中有一个移动的进度条,它坐在那里并移动了一段时间,但完成后,整个程序没有打开规则编辑器,而是突然结束。
有没有人见过这样的行为?如果是这样,请让我知道我能做些什么。谢谢你。
fortify - com.fortify.sca.analyzer.a:没有足够的可用内存来完成分析
Fortify Audit Workbench 应用程序出现以下错误:
[错误]:解析 *.js com.fortify.sca.analyzer.a 时出现意外异常:没有足够的可用内存来完成分析。有关提供更多内存的详细信息,请参阅用户手册。
请任何解决方案!
fortify - 我可以在 .jar 文件而不是 .java 上运行 fortify 吗?
我需要使用 Fortify 检查在我的项目中使用的第三方库中的漏洞(如果有)。
对于一些第三方库,我无法访问他们的源文件。我只有随附的 .jar 文件。
是否可以在 .jar 文件上运行 Fortify?我在大多数文档中只能找到 Fortify 可以在 .java 文件上运行,如下所示:
sourceanalyzer -b MyProject -cp "lib/ .jar" "src/ */*.java"
static-analysis - 强化 IA 的 SCA/SSC 报告?
我是一名开发中型 c# 应用程序的开发人员,我正在使用 Visual Studio 2010 的 Fortify Secure 编码插件定期进行静态代码分析。我们即将结束这个开发周期,我被要求向 IA 提供漏洞报告。
我以前不必提交,而且 IA 似乎不熟悉 Fortify 报告。我的计划是生成 2 或 3 份报告并提交给 IA,以便他们决定哪个最适合他们使用。我不太确定哪些报告(有哪些选项)适合提交给 IA。我还可以从 Audit Workbench 和 SSC 生成报告。
所以问题是,您的组织向您的 IA 商店提供了哪个 Fortify 报告(带有哪些配置)?或者更笼统地说,您向 IA 提供什么类型的静态分析漏洞信息?
先感谢您。