問題タブ [fortify]

コマンドラインを使用して fortify を実行した人はいますか? CI ビルドに fortify run を組み込もうとしていますが、その方法がわかりません。

Visual Studio2005インターフェイスを介してfortify360（SCA）でC / C ++/COMコードをスキャンしようとしています。

コンパイルは正常に行われます。ただし、強化スキャンは「スキャンに失敗しました：値が範囲内にありません」という警告で失敗します。

この問題を解決する方法を教えてください。

前もって感謝します。

FortifyScanを実行するためのMSBuildを作成しています。コマンドは次のとおりです。

1）sourceanalyzer -b MYBUILDID devenv SOLUTION.sln/REBUILDデバッグ

2）sourceanalyzer -b MYBUILDID -scan -f SOLUTION.fpr -format frp

ビルドログ

1）1.1）再構築開始.....ソリューションは再構築に成功しました。わかった

1.2）その後、aspnet_compilerを 実行します。実行中：ASPCOMPILE： "-v" "/ FortifyBuildId" "-p" "MySite" "-d" "-f" "-c" "-fixednames" "\％USER％\ AppData \ Local \ Fortify \ VS2010-5.9 \ output...." Fortifyソースコード分析が完了しました

2）[エラー]：ビルドID「MYBUILDID」が存在しません

私のビルドボックスは、SharePointがインストールされているため、サーバー2008x64です。sourceanalyzerがACCOMPILEを呼び出し、c：\ windows \ Microsoft.NET \ Framework64ではなくc：\ windows \ Microsoft.NET \Frameworkを指していることに気付きました。両方のフレームワークで実行してテストしました。aspnet_compileで64は正常に動作します（ "c：\ Windows \ Microsoft.NET \ Framework64 \ v4.0.30319 \ aspnet_compiler" "-v" "/ FortifyBuildID" "-p" "MySite" "-d" "-f" "-c "" -fixednames ""％USER％\ AppData \ Local \ Fortify \ VS2010-5.9 \ output .. "

どうすれば修正できるか知っていますか？

ありがとう

WCF を使用してクライアントの Web サービスを利用しようとしています。クライアントの Web サービスは HTTPS 経由で実行され、次のバインディングで問題なく使用できます。

ただし、Fortify 360 はセキュリティが弱すぎると訴えているため、セキュリティ チームから、Messageまたはセキュリティを使用する必要があると言われました。TransportWithMessageCredentialTransport

試してみるMeesageと、次のエラーが表示されます。

そしてTransportWithMessageCredential、次のエラーが表示されます。

ユーザー名/パスワードを持っていないので (ブラウザで問題なく接続できます)、質問は次のとおりです。

既存の HTTPS Web サービスを使用するときに (発行者が変更を加えることなく)Messageまたはを使用できますか? TransportWithMessageCredentialsその場合、構成にどのような変更を加える必要がありますか?

質問を明確にするために編集されました。

ASP.net アプリケーションで Fortify スキャンを実行しました。多くのヘッダー操作の問題があることがわかりました。すべての問題は Response.Redirect() を指しています。パラメータをエンコードした以下のコードを見てください。それでも、以下のコードはヘッダー操作の問題としてカウントされます。

問題を解決するためにここで変更する必要がある他に何が必要かを教えてもらえますか?

次のコードは、常にパス操作の問題を示しています。それを解決する方法?

Fortify 監査ワークベンチ ツールには、1. セキュリティ監査者ビュー 2. 開発者ビュー 3. 重大な露出 4. ホットスポットなど、さまざまなタイプのフィルター セットがあります。

前もって感謝します

.net ソースで Fortify を (コマンド ラインから) 実行したい場合、マシンに Visual Studio をインストールする必要がありますか? コマンドラインから fortify を実行しようとしていますが、ビルド ID について常に不平を言っています。

ありがとう、タラ・シン

Fortifyソースコードアナライザーを使用して、Javaコードのセキュリティ問題を分析しています。

警告します

「ソースコード分析エンジンは、サポートされていないJava仮想マシン（Sun Microsystems Inc. 1.6.0_27）で実行されています。」

ヘルプドキュメントからサポートされているバージョンが見つかりませんでした。Fortifyがサポートしているバージョンを教えてください。Auditワークベンチバージョン5.2.1.0002を使用しています。私はUbuntuで実行しています。

ありがとう、

HP Fortify SCA でルールを記述して、XLM ファイルの XML タグ値をチェックする方法を知っている人はいますか?

正規表現を使用したこのような XML があり、要素が正規表現に一致するかどうかをチェックするルールを書きたいと考えています。