fortify - 「中間ファイルの生成」中にFortifyに時間がかかりますか

Question

cSharp アプリケーションの 1 つのセキュリティ スキャンに Fortify を使用していますが、「中間ファイルの生成」に何時間もかかっています。本当にそんなに時間がかかりますか？

Answer 1

.NET ビルドの開始時に中間ファイルを生成するのは、通常、SCA が使用するライブラリ関数の NST ファイルを作成するときです。これは、最初のプロジェクトの後はそれほど長くはかからないはずですが、マシンごとにプロジェクトごとに 1 回だけ実行する必要があります。次に、${fortify.ProjectRoot}/sca<version>/build/Libraries/これが削除されない限り (ビルド ID なしでクリーニングする場合のように) 実行しない限り、それらは保存されsourceanalyzer -cleanます。その後のスキャンのためにここにあるはずです。メモリ オプションを増やすと役立つ場合がありますが、私はそうします。そのまま実行してから、その後のスキャンでどのようになるかを確認することをお勧めします。

Answer 2

残念ながら、スキャンのセットアップと Fortify のバージョンに関する具体的な詳細がないため、長いスキャン時間の原因を特定することは困難です. ただし、Fortify のスキャン時間に影響を与えるいくつかの要因があります。

• コードベースの複雑さ。大規模で複雑なコード ベースは、単純なコードよりも翻訳と分析に時間がかかります。
• Fortifyスキャンプロセスに割り当てられたメモリ。Fortify sourceanalyzer スキャンは、かなりメモリを集中的に使用する可能性があります
• ローカル システムの負荷

スキャンについて共有できる追加の詳細はありますか?

Answer 3

次のオプションを追加して、期間を大幅に短縮します。

"-Xmx20g" (or mot if you have more memory) and "-64" for 64-bit processor