簡體 English 中英

缺少 jar 會影響 Fortify 掃描結果嗎？

[英]Would missing jars affect Fortify scan results?

原文 2013-03-01 08:43:40 1 2 java/ fortify/ source-code-protection

我正在嘗試使用 Fortify 靜態代碼分析來掃描純.java文件，並且經常收到一條錯誤消息，指出我沒有包含完整的 jar 列表。

“無法解析以下對 java 類的引用。請確保將包含這些類的所有必需 jar 文件提供給 SCA。”

我的問題是它會影響掃描結果嗎？ 這個警告值得認真對待嗎？ （因為我的掃描仍在繼續；）

2 個解決方案

從首要原則而不是產品或應用程序的知識來考慮這一點：

大概 Fortify 會掃描它可以看到的代碼，因此它會返回一些有用的結果。 但是，由於它無法看到所有代碼，因此無法完成完整的工作。

不知道Fortify能有多聰明，抽象工廠之類的東西是怎么做的？ 這樣的設計模式可以有效地在運行時確定實際使用了哪些類，因此您可以根據可用的 jar 獲得完全不同的應用程序行為。

底線：鑒於您的應用程序可以在某處運行，為什么您不能將所有 JAR 文件放在一起，讓 Fortify 有機會完成更完整的工作？

您可以獲得部分掃描和結果，但某些問題可能會被完全遺漏和/或風險較低。 如果您的代碼調用 JAR 文件中的函數，則 SCA 無法跟蹤進出函數的數據流。 因此，這些數據路徑進入黑洞並且不會返回任何結果。

最好不要有任何警告和可以編譯掃描的代碼。

Fortify-源掃描

[英]Fortify - Source Scan

使用.jars編譯會導致缺少.class文件

[英]Compiling with .jars results in missing .class files

使用Maven Fortify插件將下一個Fortify掃描與現有掃描合並

[英]Merging the Next Fortify Scan with an Existing Scan using the Maven Fortify Plugin

來自 Fortify 掃描的 Delta 問題

[英]Delta issues from a Fortify scan

Null 取消引用 - 使用 HashMap.EntrySet() 強化掃描

[英]Null Dereference - Fortify scan with HashMap.EntrySet()

固定強化掃描區域設置更改重新出現

[英]Fixed fortify scan Locale changes are reappearing

Fortify - 如何掃描maven項目的特定版本？

[英]Fortify - How to scan particular builds of a maven project?

側罐中缺少庫

[英]Missing libraries in side jars

掃描“打電話回家”的依賴罐？

[英]Scan dependency-jars for 'phoning home'?

“缺少SecurityManager檢查：可序列化”：Fortify SourceAnalyzer

[英]“Missing SecurityManager Check : Serializable” : Fortify SourceAnalyzer

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Fortify-源掃描使用.jars編譯會導致缺少.class文件使用Maven Fortify插件將下一個Fortify掃描與現有掃描合並來自 Fortify 掃描的 Delta 問題 Null 取消引用 - 使用 HashMap.EntrySet() 強化掃描固定強化掃描區域設置更改重新出現 Fortify - 如何掃描maven項目的特定版本？側罐中缺少庫掃描“打電話回家”的依賴罐？ “缺少SecurityManager檢查：可序列化”：Fortify SourceAnalyzer

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM