問題タブ [fortify]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
asp.net - ASP.NET MVC の悪い慣行: Asp.Net MVc の POST に限定されないコントローラー アクション
Fortify SCA でソースコードをスキャンしました
Fortify レポートを確認したところ、ASP.NET MVC の悪い慣行: Controller Action Not Restricted to POST (API Abuse, Structural)バグが発生しました
Fortify は、次のような高レベルのバグを発見しました
しかし、私はそのコード行を見ました。
属性。
偽陽性ですか?
javascript - Fortify を混乱させることなく、フォームパラメーターを Javascript 変数として安全に反映する
Fortify 静的コード分析を使用してソフトウェアを分析しています。Fortify は、クロス サイト スクリプティングの脆弱性があると報告しています (反映されています)。
安全であることを顧客に納得してもらうために (監査が必要なため、誰もやりたがらないことです)、Fortify を喜ばせるために、その点について顧客と議論することができます。
ASP.NET のリクエストからフォーム パラメータを取得し、「手動で」(API を使用せずに) エスケープします (改行、\ 文字、引用符をエスケープし、スクリプト タグを削除します)。次に、それをブラウザにダンプします
私がしない限り、不平を言います
しかし、これは、Javascript var 'enteredText' を使用するには、Javascript を使用して HTML デコードする必要があることを意味します。この状況での <> とエンティティのエンコードとデコード全体は冗長ですよね?
どうすれば Fortify をなだめることができますか?
c# - Fortify sourceanalyzer コマンド ラインからのテキスト出力の取得
関連する質問: Fortify コマンド ラインの使用法
TeamCity のコマンド ライン ランナーによってトリガーされる、.NET ソリューションの Fortify スキャンを毎晩実行したいと考えています。結果の独自のカスタム サマリーを Web ページに投稿したいと考えています。
私が知りたい重要な情報は、重要度レベルごとの問題数です。
以前、Audit Workbench クライアントで使用するために -f コマンドライン スイッチを使用しましたが、結果の .FPR ファイルを手動で解析および解釈するのは難しいようです。
を使用していますが、テキストを指定するために使用できるオプションFortify Static Code Analyzer 5.15.0.0060がないようです。-format
スキャンで見つかった問題の数を取得する方法はありますか?
fortify - Fortify のアップロード認証トークンの daysToLive 制限
スキャンが必要なプロジェクトがいくつかあり、それらの fpr ファイルを 360 サーバーにアップロードしています。プロジェクトの pom ファイルには、maven 用の Fortify SCA プラグインが含まれており、同じ authToken を使用します。fpr ファイルはしばらくの間正常にアップロードされていましたが、最近失敗しました。認証トークンがアクセスできるプロジェクトを一覧表示しようとして、コマンド ラインから次のコマンドを実行すると、「アクセスが拒否されました」というメッセージが表示されます。
トークンが有効な日数を指定するために、トークンの生成中に使用できる daysToLive オプションがあることを知っています。デフォルトは30日だと読んだと思います。新しいトークンを継続的に生成し、すべてのプロジェクト pom ファイルを更新する必要がないように、daysToLive を大きくしたいと思います (試してみました)。だから私の質問は:
新しい認証トークンを生成するときの daysToLive オプションに上限はありますか?
ありがとう
java - FORTIFY の fpr ファイルを使用して Maven で PDF レポートを生成する方法
こんにちは、maven を使用して fpr ファイルから PDF レポートを生成しようとしています。そのために利用できるプラグインがあるかどうか教えてもらえますか?
以下は、私が達成したい出力ですが、mavenからのものです。コマンド プロンプトのコマンド: "ReportGenerator -format pdf -f outputFile.pdf -source dev-rkm-KMS-aggregate.fpr "
ありがとう
security - 最新の Phonegap ソースは、Fortify スキャンを介していくつかの重大で高度なセキュリティ リスクを示しています
レスポンシブ Web アプリ用の単なるブラウザー シェルである Phonegap アプリを使用していますが、Fortify セキュリティ スキャンの結果から、多数の重大で高リスクのリスクが明らかになります。
Google であまり助けが見つからないので、Phonegap ソースの一部を書き換える以外にできることはありますか?
このような評判の良いフレームワークがこれほど多くの危険信号を発するのは奇妙に思えます。私が追加したコードは数行に限定されており、できることはあまりないため、大部分はフレームワークのソースに由来するようです。
Fortify 優先順位別の問題 低 145 高 127 重大 2
java - Fortify レポートに鍛造の問題を記録する
アプリケーションの Fortify レポートを生成しました。Fortify レポートでは、以下のコードでログ偽造の問題が示されています。
一部の人々の提案に従って、「/n」を「」に、「/r」を「」に置き換えましたが、それでも問題は解決しません。
誰でもこれを解決する方法を教えてもらえますか?
前もって感謝します。
java - HP Fortify 3.80: 内部エラーが発生しました
アップロード トークンの有効期限が切れ、実行時に
私は受け取ります
私は残りを表示しますが、それはおよそです。200行。これが最後に発生したとき (90 日前)、私は ./fortifyclient の 4.00 バージョンを使用しましたが、うまくいきました。助言がありますか?