問題タブ [fortify]

Fortify スキャンで「Access Control LDAP」の問題が発生しました。どのように修正/解決できますか? LDAP パラメーターはデータベースに保存されるため、接続を確立するには、以下を使用して構成を取得します。 - DAO 層:

カスタム例外クラスに対するすべての例外を処理したいと考えています。try ブロックでカスタム例外を発生させたくありません。すべての例外がカスタム例外クラスによってキャッチされるようにしたいのです。

私はこれをしたくありません：

これ欲しい：

あなたが私の質問を理解してくれることを願っています。

ソースから構築し、ローカル リポジトリにインストールした sca-maven-plugin を使用して、プロジェクトの SCA スキャンをセットアップしました。私のビルドは、Fortify がインストールされているサーバーで TeamCity ビルド エージェントを介して実行されます。

スキャンの実行に問題はありません。ReportGenerator を使用して、生成された .fpr からレポートを喜んで生成しています。初期のレポートでは、プロジェクト (Java プロジェクト) に誤って含まれていた PHP ファイルにいくつかの脆弱性があることが示されました。これらのファイルを削除した後、Fortify がこれらのファイルの脆弱性を報告し続けているのはなぜですか?

ビルド エージェントが最新のものをチェックアウトする前にすべてのソースを消去するように構成されていることを確認しました。実際、サーバー自体でこれらの PHP ファイルが存在しないことを確認できますが、レポートと .fpr はそれらに対する問題をまだ報告しています。

追跡/トレンド分析で解決しなければならない問題が持続する場所はありますか?

以下のビルドからの出力。ファイルが実際に欠落しているが、まだ分析範囲に含まれていることを示しています。

ルールパックはどのように命名されますか? たとえば、Software Security Center (「SSC」) の管理ビューに 5 つのルールパックが表示されます。ルールパックは、名前に .NET または Java の名前が付けられています。

ルールパック名は、実行中の分析と 1 対 1 の関係がありますか? ダッシュボードにこれらの言語の分析を表示させたい場合、Abap、C++、または Python のルールパックが必要ですか?

Fortify が null ポインターの逆参照について警告している次のコード ブロックがあります (コードの強調表示されたセクションで警告が発生します)。

これは偽陽性ですか？警告が発生している場所が null かどうかを確認しています。

更新: コードをもう少し追加しました。displayAttribute が null でないことを事前に確認しています。IsNotNull() が拡張メソッドであるためでしょうか?