问题标签 [fortify]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ant - 强化源分析器错误
当我为我的 java 和 jsp 代码分析运行 sourceanalyzer ant 任务时,我收到如下错误:
无法创建目录 /export/home/olbbbld/.fortify/sca5.10/build
是什么导致了这个错误?
ldap - 加强访问控制 LDAP
Fortify 扫描出现“访问控制 LDAP”问题,知道如何修复/解决它吗?ldap 参数存储在数据库中,因此要建立连接,我们使用以下配置: - DAO 层:
c# - 如何处理自定义异常类中的所有异常?
我想处理自定义异常类的所有异常。我不想在 try 块中引发自定义异常,我希望每个异常都会被我的自定义异常类捕获。
我不想这样做:
我要这个:
希望你能得到我的问题。
java - 为什么 Fortify SCA 会针对我的项目中不再存在的文件报告问题?
我使用 sca-maven-plugin 为我的项目设置了 SCA 扫描,该插件是从源代码构建并安装到本地存储库中的。我的构建是通过安装了 Fortify 的服务器上的 TeamCity 构建代理运行的。
运行扫描没有任何问题,我很高兴使用 ReportGenerator 从生成的 .fpr 生成报告。早期的报告表明我在 PHP 文件中发现了一些漏洞,这些漏洞被错误地包含在项目(这是一个 Java 项目)中。既然删除了这些文件,为什么 Fortify 仍然报告这些文件的漏洞,即使它们不再存在于我的项目中?
我已确认构建代理已配置为在签出最新源之前清理所有源,并且确实我可以在服务器本身上看到这些 PHP 文件不再存在,但报告和 .fpr 仍在报告针对它们的问题。
是否存在我还需要清除的跟踪/趋势问题持续存在的地方,或者还有其他我遗漏的东西?
构建的输出,显示文件确实丢失但仍包括在分析范围内,如下所示:
fortify - HP Fortify SCC - 规则包
规则包是如何命名的?例如,我在软件安全中心(“SSC”)的管理视图中看到了 5 个规则包。规则包在名称中以 .NET 或 Java 命名。
规则包名称是否与正在执行的分析具有 1 对 1 的关系?如果我希望仪表板显示对这些语言的分析,是否应该有 Abap、C++ 或 Python 规则包?
fortify - 检查 Fortify 版本和 Fortify 规则包版本的命令是什么?
我是 Fortify 的新手。我需要在 PDF Fortify 报告中添加 Fortify 版本和 Fortify 规则包版本吗?
我需要将该命令添加到 template ,这样在运行 reportGenerator 时它将动态选择版本号并更新 PDF,而不是对 Fortify 版本进行编码。
您能否告诉我们检查 Fortify 版本和规则包版本的命令(不是从 GUI,通过控制台模式或命令行)
谢谢。
visual-studio-2012 - Fortify SCA 命令行调用失败
您好,尝试使用 Fority 扫描我的解决方案时出现以下异常。
我在默认位置 Windows/System32 文件夹中有 ildasm。而且我可以从命令提示符打开 ildasm.exe。请让我知道,我失踪了。
我正在使用 Visual Studio 2012,带有 64 位的 fortify 4.0。
提前致谢
java - 如何抑制 Java 代码中的 HP Fortify 关键问题
我想通过注释或其他方式来抑制问题(我想要的)在 java 文件中的报告中强化显示。就像我们使用 @supressWarnings(PMD.XXX) 来抑制 PMD 问题
fortify - 访问控制:数据库强化
我们运行了 Fortify 扫描并遇到了一些访问控制:数据库问题。该代码正在获取文本框值并将其设置为字符串变量。在这种情况下,它将值从 TextBox 传递到数据库中的存储过程。关于如何解决此访问控制:数据库问题的任何想法?
如果没有适当的访问控制,DataBase.cs 中的 ExecuteNonQuery() 方法可以在第 320 行执行包含攻击者控制的主键的 SQL 语句,从而允许攻击者访问未经授权的记录。
来源:Tool.ascx.cs:591 System.Web.UI.WebControls.TextBox.get_Text()
接收器:DataBase.cs:278
System.Data.SqlClient.SqlParameterCollection.Add()
// Add parameters
foreach (SqlParameter parameter in parameters)
cmd.Parameters.Add(parameter);
c# - 强化解引用空指针
我有以下代码块,fortify 警告关于取消引用空指针(警告出现在代码的突出显示部分)。
这是误报吗?它正在检查发生警告的位置是否为空。
更新:添加了更多代码。我们预先检查以确保 displayAttribute 不为空。难道是因为 IsNotNull() 是一种扩展方法?