問題タブ [fortify]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
eclipse - HPFortifyUIのカスタマイズ
Fortify Eclipseのカラースキーマを変更することは可能ですか?
このパスでいくつかのファイルを見つけました
これは、Eclipseがコードの色を定義するために使用するもののように見えますが、それらを正常に変更する方法を提供することはできません。
更新: Fortifyのバージョンは「AuditWorkbench3.50」です。Eclipseコードエディターを使用してコードを表示しますが、Eclipseプラグインではありません。Eclipseがルックアンドフィールをカスタマイズするために使用するのと同じファイルを使用していることを発見しましたが、それらを正常に変更することはできませんでした。
fortify - 「中間ファイルの生成」中にFortifyに時間がかかりますか
cSharp アプリケーションの 1 つのセキュリティ スキャンに Fortify を使用していますが、「中間ファイルの生成」に何時間もかかっています。本当にそんなに時間がかかりますか?
c++ - Fortify on Visual Studio 2010 C++ プロジェクト - エラー MSB6006: -1073741701
VS2010 C++ プロジェクトで fortify を実行しようとしています。非常に単純な hello world プロジェクトを作成し、次のコマンドで fortify を実行しようとしました。
sourceanalyzer.exe -b sample devenv sample.sln /REBUILD
このエラーが発生し続けます:
C:\Program Files (x86)\MSBuild\Microsoft.Cpp\v4.0\Platforms\Win32\Microsoft.Cpp.Win32.Targets(147,5): error MSB6006: "CL.exe" exited with code -1073741701.
完全なビルド ログは次のとおりです。
追加のエラーは発生しませんでした。私のOSはWindows7 64ビットです。私のプロジェクトは 32 ビットのコンソール アプリケーションです。Fortify 32 ビットのバージョンを使用しています: "Fortify Source Code Analyzer 5.9.5.0007"
エラーについてマイクロソフトのページを閲覧してみましたが、明らかに一般的なエラー コードです。非互換性を疑っていますが、それを絞り込むことはできません。どこが間違っているのか教えてもらえますか?
更新: いくつかの詳細情報:
VS2010のcl.exeで、サクサク動きます。このエラーは、Fortify の cl.exe によってスローされます。エラーコードを確認したところ、cl.exeが起動できないようです。依存関係ウォーカーでクロスチェックしましたが、いくつかの dll (gpsvc.dll と IEShims.dll) がありません。64 ビットの Windows をインストールしていますが、cl.exe は 32 ビットであり、これらの DLL の 32 ビット バージョンはありません。これが根本的な原因であるかどうかはわかりません。遅延がロードされており、上記のエラーが発生しない可能性があるためです。
security - Fortify に似たオープンソース ソフトウェアはありますか?
アプリケーションに PMD と Findbug を使用してきましたが、fortify はアプリケーションのセキュリティ脆弱性の一部を検出することができました。Fortify と同様の機能を持つ他のオープンソース ソフトウェアがあるかどうか疑問に思っています。
fortify - Fortifyで「パス操作」エラーを回避するには?
Fortify は、 行 where でパス操作エラーを出していnew FileWriter(psPath + psFileName + psExtension, false)ます。
fortify がこのエラーを出さないように、この問題を修正する方法を誰か教えてもらえますか?
security - 一部のJavaコードの「パス操作の脆弱性」を修正するにはどうすればよいですか?
FortifyPathManipulationエラーを取得する以下の単純なJavaコード。これを解決するのを手伝ってください。久しぶりに苦労しています。
java - ログ鍛造強化修正
Fortify SCA を使用して、アプリケーションのセキュリティの問題を見つけています (大学の宿題として)。解決できない「Log Forging」の問題に遭遇しました。
基本的に、Web インターフェイスからのユーザー入力としていくつかの値をログに記録します。
getRecordId()がユーザー入力を返すため、Fortify はこれをログ偽造の問題として報告します。
この記事に従い、「改行」をスペースに置き換えていますが、問題はまだ報告されています
誰でもこの問題を解決する方法を提案できますか?
android - Android チェックを強化する
Fortify ルールセットが Android アプリケーションでどのような脆弱性を探すのか、興味があります。残念ながら、私は同じドキュメントを見つけることができません。コンポーネントのアクセス許可チェックとともに、Java 固有の脆弱性を探していることは知っていますが、他に何かありますか? SQL インジェクション チェック? 意図チェック?
java - Fortify ルールが起動しない
関数をチェックし、関数が表示されたときにフラグを立てるだけの強化ルールを作成しようとしていました。次のコードで Java ファイルを作成しました。
私が書いた fortify ルールの意図は、getErrorCodeinsideの発生を検出DialogErrorし、同じフラグを立てることです。
私は何を間違っていますか?
java - Fortify で誤検知の「Null Dereference」エラーを回避する方法
Java プロジェクトで「HP Fortify v3.50」を使用していますが、Fortify は null に対する制御が別のメソッドにあることを認識しないため、「Null Dereference」で多くの誤検出を見つけました。誤検知を減らしてルールを維持するにはどうすればよいですか?
POC はこちら
結果: