2

既存の質問の .NET バージョン.java の代わりに .jar ファイルで fortify を実行できますか?

私のチームは Fortify 5.15.0.0060 を使用しています。Visual Studio で .NET プロジェクトをスキャンしています。プロジェクト設定には、次のコマンド ライン引数が表示されます。

-vsversion 10.0 "-b" "project" "-machine-output" "-scan" "-f" "C:\Users\user\AppData\Local\Fortify\VS2010-3.80\project\Scan.fpr" "-format" "fpr"

これは、.cs ソース コード ファイルの問題を浮き彫りにしていますが、ソリューションの一部を構成する DLL (およびバイナリと共に出力ディレクトリにコピーされる) を見ていないようです。これらのライブラリの多くでは、.pdb ファイルにアクセスできませんが、Fortify が限られた量のスキャンを実行できることを期待していました。

コマンド ライン引数を追加して、PDB ファイルの有無にかかわらず DLL ファイルを含めることはできますか?

4

1 に答える 1

3

.Net に関して言えば、Fortify は .pdb を持つアセンブリのみをスキャンできます。これは、Fortify が .pdb を使用ildasm.exeしてアセンブリを逆コンパイルし、.pdb を使用してソース ファイルと照合するためです。残念ながら、これらの余分なアセンブリをスキャンする方法はありません。

.pdb ファイルがある場合、Fortify でそれらをスキャンできますが、結果に完全なソースが表示されない場合があります。これらのアセンブリを含めるには、変換オプションで指定する必要があります。これをすべてコマンド ラインから行う場合は、次のようにします。

sourceanalyzer -b project -vsversion 10.0 projectPath\Additional.Assembly.1.dll projectPath\Additional.Assembly.2.dll projectPath\Additional.Assembly.3.dll
sourceanalyzer -b project -scan -f MyResults.fpr

Fortify のバージョンをまだ更新していない場合は、更新することを強くお勧めします。

于 2014-09-10T19:04:58.610 に答える