问题标签 [fortify]

我正在尝试通过命令行下载我的 Fortify 360 fpr 文件，以便可以使用以下命令自动执行一个过程：

问题是当我尝试此操作时收到以下消息：

我拥有通过 Web UI 上传/下载 fpr 所需的所有权限，并且我已经能够从命令行成功上传 fpr，只是在下载它时遇到了问题。

我的机器上有 Fortify SCA，我正在尝试使用命令行在项目中创建一个版本。

谁能告诉我 fortifyclient 命令在项目中创建版本。

当我对 Java 项目运行 Fortify 分析时，我收到此错误：

我在哪里可以配置规则文件？

我正在使用 Fortify 创建一些海关规则，但我想知道是否有任何方法可以自定义这些规则，以便它们可以针对特定语言。

这样做的原因是能够在 Java 和 .NET 中提供关于 SQL 注入的自定义描述和自定义引用，以便它们可以是特定于语言的。

Fortify 似乎按类别映射自定义规则，但是当我们有两个包时出现问题，一个用于 .NET，另一个用于 Java，并且它们都公开了一个称为跨站点脚本的类别。

你们知道如何使这个规则特定于语言吗？

谢谢。

我们正在使用 Fortify 进行静态代码分析。Fortify 扫描报告的问题之一是“经常被误用：身份验证”。对于“java.net.InetAddress”类中以下方法之一的所有使用情况，都会标记该问题。

什么是相同的理想解决方案？

这里建议了一种可能的方法，我不确定我们是否有其他方法来解决这个问题。

谢谢

有没有办法从Fortify扫描中排除生成的源？我尝试了指南中提到的 sourcepath 选项，但它似乎对我不起作用。

上述两个选项都以以下警告告终

Fortify SCA 和 Fortify SSC 有什么区别。这些软件生成的报告有什么区别吗？我知道 Fortify SSC 是一个基于 Web 的应用程序。我也可以将 Fortify SCA 用作基于 Web 的应用程序吗？

我正在尝试使用 maven-sca-plugin 来扫描 java 应用程序。看起来默认情况下它只扫描 java 代码，如何使插件包含 jsp 和其他文件类型以进行翻译阶段。

谢谢房车

我有两个关于 Fortify 的问题。

1 - 假设我有一个 Windows 窗体应用程序，它要求输入用户名和密码，密码文本框的名称是 texboxPassword。因此，在设计器文件中，您具有由设计器生成的以下内容。

Fortify 在评论问题中将此标记为密码。如何通过创建自定义规则来抑制这种情况？我不想压制整个问题，因为我仍然想捕获某些模式（例如密码后跟 = 或 : 在评论中），但是包含密码的任何行都被标记的全面搜索会产生如此多的误报。我研究了创建结构规则，但无法弄清楚如何删除关联的标签（无论如何我在哪里可以找到评论中的密码标签？）

2 - 假设我有一个自定义 UI 控件。这个控件 html 对所有内容进行编码，在我的上下文中，它足以避免 XSS。不用说，它被 Fortify 标记了。当我的 UI 中有某种控件类型并且它的所有方法在我的上下文中对 XSS（它们进行清理）都是安全的时，如何抑制 XSS？我尝试了一个 DataflowCleanseRule（带有一个标签，只是为了测试这个概念），并想将 get_Text() 和 set_Text() 标记为清理函数，但它没有任何区别，Fortify 仍然将它标记为 XSS。

预先感谢您的帮助

我正在尝试使用包 ggplot2 中的函数 fortify 将空间对象转换为 data.frame。但我收到一个错误。例如，按照Hadley Wickhan 的绘制多边形 shapefile 示例中使用的完全相同的代码，我键入以下命令行：

一切似乎都正常：

但是，当我尝试使用 packagecage ggplot2 中的函数 fortify 转换 utah 对象时，出现以下错误：

对于我尝试使用 fortify 转换的所有其他空间对象，我遇到了相同的错误；即使使用过去运行良好的代码（在升级到 R 的版本 3.0.2 之前）。

我在配备 Intel Core i7 和 16GB 内存的 Mac 上运行 R 版本 3.0.2。