问题标签 [fortify]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
1386 浏览

ant - 强化源分析器错误

当我为我的 java 和 jsp 代码分析运行 sourceanalyzer ant 任务时,我收到如下错误:

无法创建目录 /export/home/olbbbld/.fortify/sca5.10/build

是什么导致了这个错误?

0 投票
1 回答
1167 浏览

ldap - 加强访问控制 LDAP

Fortify 扫描出现“访问控制 LDAP”问题,知道如何修复/解决它吗?ldap 参数存储在数据库中,因此要建立连接,我们使用以下配置: - DAO 层:

0 投票
2 回答
1285 浏览

c# - 如何处理自定义异常类中的所有异常?

我想处理自定义异常类的所有异常。我不想在 try 块中引发自定义异常,我希望每个异常都会被我的自定义异常类捕获。

我不想这样做:

我要这个:

希望你能得到我的问题。

0 投票
1 回答
5673 浏览

java - 为什么 Fortify SCA 会针对我的项目中不再存在的文件报告问题?

我使用 sca-maven-plugin 为我的项目设置了 SCA 扫描,该插件是从源代码构建并安装到本地存储库中的。我的构建是通过安装了 Fortify 的服务器上的 TeamCity 构建代理运行的。

运行扫描没有任何问题,我很高兴使用 ReportGenerator 从生成的 .fpr 生成报告。早期的报告表明我在 PHP 文件中发现了一些漏洞,这些漏洞被错误地包含在项目(这是一个 Java 项目)中。既然删除了这些文件,为什么 Fortify 仍然报告这些文件的漏洞,即使它们不再存在于我的项目中?

我已确认构建代理已配置为在签出最新源之前清理所有源,并且确实我可以在服务器本身上看到这些 PHP 文件不再存在,但报告和 .fpr 仍在报告针对它们的问题。

是否存在我还需要清除的跟踪/趋势问题持续存在的地方,或者还有其他我遗漏的东西?

构建的输出,显示文件确实丢失但仍包括在分析范围内,如下所示:

0 投票
4 回答
9848 浏览

fortify - HP Fortify SCC - 规则包

规则包是如何命名的?例如,我在软件安全中心(“SSC”)的管理视图中看到了 5 个规则包。规则包在名称中以 .NET 或 Java 命名。

规则包名称是否与正在执行的分析具有 1 对 1 的关系?如果我希望仪表板显示对这些语言的分析,是否应该有 Abap、C++ 或 Python 规则包?

0 投票
3 回答
10495 浏览

fortify - 检查 Fortify 版本和 Fortify 规则包版本的命令是什么?

我是 Fortify 的新手。我需要在 PDF Fortify 报告中添加 Fortify 版本和 Fortify 规则包版本吗?

我需要将该命令添加到 template ,这样在运行 reportGenerator 时它将动态选择版本号并更新 PDF,而不是对 Fortify 版本进行编码。

您能否告诉我们检查 Fortify 版本和规则包版本的命令(不是从 GUI,通过控制台模式或命令行)

谢谢。

0 投票
2 回答
3426 浏览

visual-studio-2012 - Fortify SCA 命令行调用失败

您好,尝试使用 Fority 扫描我的解决方案时出现以下异常。

在此处输入图像描述

我在默认位置 Windows/System32 文件夹中有 ildasm。而且我可以从命令提示符打开 ildasm.exe。请让我知道,我失踪了。

我正在使用 Visual Studio 2012,带有 64 位的 fortify 4.0。

提前致谢

0 投票
1 回答
3239 浏览

java - 如何抑制 Java 代码中的 HP Fortify 关键问题

我想通过注释或其他方式来抑制问题(我想要的)在 java 文件中的报告中强化显示。就像我们使用 @supressWarnings(PMD.XXX) 来抑制 PMD 问题

0 投票
1 回答
27935 浏览

fortify - 访问控制:数据库强化

我们运行了 Fortify 扫描并遇到了一些访问控制:数据库问题。该代码正在获取文本框值并将其设置为字符串变量。在这种情况下,它将值从 TextBox 传递到数据库中的存储过程。关于如何解决此访问控制:数据库问题的任何想法?

如果没有适当的访问控制,DataBase.cs 中的 ExecuteNonQuery() 方法可以在第 320 行执行包含攻击者控制的主键的 SQL 语句,从而允许攻击者访问未经授权的记录。

来源:Tool.ascx.cs:591 System.Web.UI.WebControls.TextBox.get_Text()

接收器:DataBase.cs:278


System.Data.SqlClient.SqlParameterCollection.Add()
// Add parameters
foreach (SqlParameter parameter in parameters)
cmd.Parameters.Add(parameter);

0 投票
1 回答
8661 浏览

c# - 强化解引用空指针

我有以下代码块,fortify 警告关于取消引用空指针(警告出现在代码的突出显示部分)。

在此处输入图像描述

这是误报吗?它正在检查发生警告的位置是否为空。

更新:添加了更多代码。我们预先检查以确保 displayAttribute 不为空。难道是因为 IsNotNull() 是一种扩展方法?

在此处输入图像描述