问题标签 [fortify]

当我为我的 java 和 jsp 代码分析运行 sourceanalyzer ant 任务时，我收到如下错误：

无法创建目录 /export/home/olbbbld/.fortify/sca5.10/build

是什么导致了这个错误？

Fortify 扫描出现“访问控制 LDAP”问题，知道如何修复/解决它吗？ldap 参数存储在数据库中，因此要建立连接，我们使用以下配置： - DAO 层：

我想处理自定义异常类的所有异常。我不想在 try 块中引发自定义异常，我希望每个异常都会被我的自定义异常类捕获。

我不想这样做：

我要这个：

希望你能得到我的问题。

我使用 sca-maven-plugin 为我的项目设置了 SCA 扫描，该插件是从源代码构建并安装到本地存储库中的。我的构建是通过安装了 Fortify 的服务器上的 TeamCity 构建代理运行的。

运行扫描没有任何问题，我很高兴使用 ReportGenerator 从生成的 .fpr 生成报告。早期的报告表明我在 PHP 文件中发现了一些漏洞，这些漏洞被错误地包含在项目（这是一个 Java 项目）中。既然删除了这些文件，为什么 Fortify 仍然报告这些文件的漏洞，即使它们不再存在于我的项目中？

我已确认构建代理已配置为在签出最新源之前清理所有源，并且确实我可以在服务器本身上看到这些 PHP 文件不再存在，但报告和 .fpr 仍在报告针对它们的问题。

是否存在我还需要清除的跟踪/趋势问题持续存在的地方，或者还有其他我遗漏的东西？

构建的输出，显示文件确实丢失但仍包括在分析范围内，如下所示：

规则包是如何命名的？例如，我在软件安全中心（“SSC”）的管理视图中看到了 5 个规则包。规则包在名称中以 .NET 或 Java 命名。

规则包名称是否与正在执行的分析具有 1 对 1 的关系？如果我希望仪表板显示对这些语言的分析，是否应该有 Abap、C++ 或 Python 规则包？

我是 Fortify 的新手。我需要在 PDF Fortify 报告中添加 Fortify 版本和 Fortify 规则包版本吗？

我需要将该命令添加到 template ，这样在运行 reportGenerator 时它将动态选择版本号并更新 PDF，而不是对 Fortify 版本进行编码。

您能否告诉我们检查 Fortify 版本和规则包版本的命令（不是从 GUI，通过控制台模式或命令行）

谢谢。

您好，尝试使用 Fority 扫描我的解决方案时出现以下异常。

我在默认位置 Windows/System32 文件夹中有 ildasm。而且我可以从命令提示符打开 ildasm.exe。请让我知道，我失踪了。

我正在使用 Visual Studio 2012，带有 64 位的 fortify 4.0。

提前致谢

我想通过注释或其他方式来抑制问题（我想要的）在 java 文件中的报告中强化显示。就像我们使用 @supressWarnings(PMD.XXX) 来抑制 PMD 问题

我们运行了 Fortify 扫描并遇到了一些访问控制：数据库问题。该代码正在获取文本框值并将其设置为字符串变量。在这种情况下，它将值从 TextBox 传递到数据库中的存储过程。关于如何解决此访问控制：数据库问题的任何想法？

如果没有适当的访问控制，DataBase.cs 中的 ExecuteNonQuery() 方法可以在第 320 行执行包含攻击者控制的主键的 SQL 语句，从而允许攻击者访问未经授权的记录。

来源：Tool.ascx.cs:591 System.Web.UI.WebControls.TextBox.get_Text()

接收器：DataBase.cs:278

System.Data.SqlClient.SqlParameterCollection.Add()
// Add parameters
foreach (SqlParameter parameter in parameters)
cmd.Parameters.Add(parameter);

我有以下代码块，fortify 警告关于取消引用空指针（警告出现在代码的突出显示部分）。

这是误报吗？它正在检查发生警告的位置是否为空。

更新：添加了更多代码。我们预先检查以确保 displayAttribute 不为空。难道是因为 IsNotNull() 是一种扩展方法？