問題タブ [fortify-source]

Java プロジェクト用の Linux プラットフォームで FortiFY 4.21 バージョンを使用しています。

昨日、1019 個のファイルを含む 1 つのプロジェクトをスキャンしましたが、完了するまでに約 3 時間かかりました。このマシンには 24 GB の RAM が搭載されており、このマシンでは FortiFy 以外のアプリケーションが実行されていないため、「-Xmx16G」を指定しました。


今日、同じプロジェクトで、もう一度実行しましたが、 Configure RulesPackから「HPE Security Fortify Secure Coding Rules. Extended JavaScript」を除外しました。

これにより、スキャンは 1 時間で 63% になりましたが、6 時間後も同じままです。だから、どうすれば何が問題だったのかを知ることができます。停止したステージを確認する方法や、ログなどを確認する方法。

助けてください。

fortify を使用してスキャンすると、以下のコードで「よく誤用される: 認証」のような脆弱性が発生します。この問題を回避するための修正はありますか。関連する投稿を見ましたが、解決策を得ることができません.ESAPI を使用して、ホスト名と ipadress の正規表現を提供しましたが、機能しません。 addr.getHostAddress() java.net.InetAddress.getByName(nameServiceHost); java.net.InetAddress.getLocalHost().getCanonicalHostName() localhost.getHostName()

この問題を解決するために私に提案してください。

私のプロジェクトはかなり小さな C プロジェクトです。コマンド ラインからsourceanalyzerを実行すると、翻訳とスキャンの両方で約 3 分で終了します。

ドキュメントによると、.fpr がコマンド ラインから生成されたもので、AWB から再スキャンする必要がある場合、 [プロジェクトの翻訳を更新] ボタンはグレー表示されます (これはそうです)。しかし、ソース コードを変更した場合、ドキュメントには、コードを再スキャンする前にまず翻訳を更新する必要があると記載されています。つまり、コマンド ラインからsourceanalyzerを再度実行する必要があります (AWB ではオプションがグレー表示されているため)。ただし、sourceanalyzer を使用すると .fpr が書き換えられるため、AWB で作成したすべての監査とカスタム フィルターが失われます。

質問 1:コマンド ラインからsourceanalyzerを実行して、AWB で作成した監査作業とカスタム フィルターを失うことなく、変換とスキャンの両方を実行できますか?

次の論理的なステップは、AWB から .fpr を作成することのようです。しかし、AWB を使用してAdvanced Scan...を使用して新しいプロジェクトを開始しようとすると、中間ファイルの生成 - JtsWrapper.java の手順を完了するのに 1 時間以上かかります。完了すると、結果に 0 件の問題が表示されます。

質問 2: AWB を使用して、Java を使用しない C プロジェクトで新しいプロジェクトを開始するにはどうすればよいですか? Start New Project -> Advanced Scanを選択すると、Java のバージョンを尋ねられます。それは私のプロジェクトがJavaプロジェクトであると考えているということですか?

これは私がsourceanalyzerを使用する方法です:

誰もこの問題を見たことがありますか? 詳細をオンにして fortify を実行しようとしましたが、得られるのは次のとおりです: Compiler execution failed (exit code: 1)

Ant スクリプトを使用して fortify ソースを実行しようとしています。

編集：

私がするとき、私は問題ありません：

HP Fortify スキャンを実行するために、build.gradle で以下の構成を使用しています。

しかし、実行すると、以下が得られます。

sourceanalyzer:3.90 プラグインがインターネットで見つかりません。この問題の解決方法についてアドバイスをお願いします。