問題タブ [fortify]

質問する

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

861 問題
Newest
Active
Bountied
318
Unanswered
0 投票する
2 に答える
16148 参照

jsp - Fortify クロス サイト スクリプティング: 不十分な検証

JSTL タグを使用して、Fortify が JSP で報告した XSS 脆弱性の問題を修正しました。しかし、XSS の脆弱性の問題は解決されましたが、使用したところ、「XSS: Poor Validation」という新しい問題が発生しました。この貧弱な検証の問題を解決するために実装できる他の解決策は何ですか?

Fortify は、実行時にコードがデコードされ、XSS 攻撃が発生する可能性があるため、HTML/XML/URL エンコーディングは適切ではないことを示唆しています。

スプリングを注入したストラット フレームワークを使用しています。ユーザーが入力を提供できるフィールドと、データベースから読み取られるフィールドがあります。可能な解決策を探しましたが、まだ見つけられませんでした。

ありがとう、ディーナ

0 投票する
1 に答える
1902 参照

c++ - 実行可能ファイルまたは .o ファイルでの Fortify SCA ビルド

バイナリを作成するために書かれた C++ コードの静的解析を強化しようとしています。ただし、このビルドは完了するまでに数時間 (場合によっては 1 日以上) かかります。

これを回避するために、ターゲットとして使用する偽のアーカイブを作成して、すべての .o ファイルを単独でビルドしてみました。このアプローチの利点は、私たちのチームがコードを所有していないため、ビルドする必要がなく、リンク時間を節約できることです。これを行うと、ビルド時間が大幅に短縮されます。

しかし、私のチームの 1 人は、これは私たちの所有外のコードとの相互作用を見逃しているため、誤検知や誤検知につながる可能性があると感じています。彼が挙げた例は、私たちの所有外のライブラリへの API 呼び出し間の共有オブジェクトについてでした。つまり、ドメイン外のオブジェクトの操作を知ることができなくなります。しかし、すべてのファイル所有者が自分のコードに対して同じことを行う場合、これは処理されませんか?

私のアプローチが正しいかどうかアドバイスしてください。

0 投票する
2 に答える
4103 参照

java - 不足している jar は Fortify のスキャン結果に影響しますか?

Fortify 静的コード分析を使用して純粋なファイルをスキャンしようとし.javaていますが、jar の完全なリストが含まれていないというエラー メッセージが頻繁に表示されます。

「Java クラスへの次の参照を解決できませんでした。これらのクラスを含む必要なすべての jar ファイルを SCA に提供してください。」

私の質問は、スキャン結果に影響しますか? そして、この警告は真剣に受け止めるべきですか? (それにもかかわらず、私のスキャンは進行中です;)

0 投票する
1 に答える
4434 参照

visual-studio-2010 - fortify Visual Studio プラグインのカスタマイズ方法

HP Fortify SCA ツールを初めて使用します。Visual Studio 2010 用の Fortify プラグインがインストールされています。コードの分析を開始すると、そのソリューションにすべてのプロジェクトが含まれます。しかし、分析から除外したいテストプロジェクトがたくさんあります。分析に含める必要があるプロジェクトのリストをカスタマイズする方法を誰かが知っている場合。

0 投票する
3 に答える
9374 参照

c# - C# での null 逆参照制御

「null逆参照」に関するいくつかのテストの後、以下のコードは「nullポインターを逆参照し、それによってNullExceptionを発生させる」ことができます。

上記を使用して (validateControl as WebControl).CssClass を null にすることはできますか?

その結果は、Fortify によって作成されたドキュメントに表示されます。

0 投票する
1 に答える
6675 参照

static-analysis - HP Fortify 監査ワークベンチ

HP Fortify Static Code Analyzer を使用して大規模な C アプリケーションのセキュリティ問題を分析しようとしていますが、ソフトウェア自体にさまざまなバグがあり、インターネット上のどこにも答えが見つからないようです。ソフトウェアのバージョン 3.4 を使用し、Linux x64 システムで実行しています。

この製品の使用をまったく困難にする主なバグは、Audit Workbench GUI のさまざまな場所でプログラムが理由もなく終了することです。たとえば、ポップアップ ウィンドウに質問が表示され、質問に対する答えが [閉じる] ボタンまたは [キャンセル] ボタンのいずれかをクリックしてポップアップ ウィンドウを閉じるだけである場合、元に戻る代わりにプログラム全体が終了します。最初にポップアップが表示されたときの場所に戻ります。もう 1 つの例は、新しいルール パックまたは既存のルール パックのルール エディターを開こうとすると、プログラムは進行状況ウィンドウを開き、進行状況バーがそこに座ってしばらく移動しますが、終了すると、ルール エディターを開く代わりに、プログラム全体が突然終了します。

このような行動を見た人はいますか?もしそうなら、私に何ができるか教えてください。ありがとうございました。

0 投票する
2 に答える
11626 参照

fortify - com.fortify.sca.analyzer.a: 分析を完了するのに十分なメモリがありません

Fortify Audit Workbench アプリケーションで以下のエラーを取得:

[エラー]: 解析中に予期しない例外が発生しました *.js com.fortify.sca.analyzer.a: 分析を完了するのに十分なメモリがありません。使用可能なメモリを増やす方法の詳細については、ユーザー マニュアルを参照してください。

解決策をお願いします!!!


12345678910