堆棧內存溢出
cost 127 ms
為什么 -D_FORTIFY_SOURCE=2 對我的編譯沒有影響?

[英]why does -D_FORTIFY_SOURCE=2 has no effect in my compilation?

我一直在添加一些“編譯標志”來激活我的二進制文件中的安全措施。 然后我使用checksec工具檢查這些措施是否已實施。 除了FORTIFY之外,我已經能夠激活所有這些。 我不斷得到強化 = 否,強化 = 0,可強化 = 4 即使在使用-D_FORTIFY_SOURCE=2編譯之后,來自checks ...

GCC 不啟用 D_FORTIFY_SOURCE,即使設置了優化標志 (-O2)

[英]GCC isn't enabling D_FORTIFY_SOURCE, even with optimisation flag set (-O2)

我最近閱讀了有關 D_FORTIFY_SOURCE 以及它對易受攻擊的函數所做的更改。 我想弄亂它,因此制作了一個小的測試二進制文件。 測試二進制文件源代碼是: 它並不打算做任何事情,只是為了嘗試對 printf 的保護。 但是,當我編譯程序時,它似乎沒有“強化” 確切的 gcc 命令是: ...

Fortify Audit Workbench使用命令行在“問題摘要”下添加注釋

[英]Fortify Audit Workbench add a comment under Issue summary using command line

Fortify似乎有一些很好的命令行支持來掃描和生成報告。 雖然實用程序似乎沒有包含使用命令行在特定問題的“問題摘要”下添加注釋的選項。 想知道是否有一個選項,我只是錯過了看到它。 我們定期審核一堆文件,並且能夠使用命令行在FPR中為特定問題添加注釋非常方便。 ...

過濾器如何強化SCA中的特定規則?

[英]How does filterset particular rule in fortify SCA?

我想使用filterset或任何其他方式將一條規則移動到誤報。 我不想像以下情況一樣移動整個規則。 “密碼管理:硬編碼密碼”一條規則就是我要移動線程“私有字符串密碼”; 行為誤報而不是“Password =”sample123“”; 這是真正的線索。 我試過AWB創建過濾器,但沒有像這 ...

strncpy被__strncpy_chk替換並失敗

[英]strncpy is replaced by __strncpy_chk and fails

我有一個聲明 在我的應用程序中,它本身很好並且運行良好。 這里data-> m_bin-> data是一個char,調用應用程序確保它后跟一個數據塊,該數據塊足夠大,可以保留strncpy()移交的所有數據。 但是,當我使用GCC / Linux構建此版本時,此函數在 ...

D_FORTIFY_SOURCE=2 選項對我不起作用

[英]D_FORTIFY_SOURCE=2 option does not work for me

我看到 GCC 4.5 及以上版本應該支持 –D_FORTIFY_SOURCE=2 選項。 但它對我不起作用,它已被忽略,並且在我使用時沒有報告問題。 使用的編譯器版本是“g++.c4.5.3-p0”,它會忽略該選項嗎? ...

強化重新掃描問題

[英]Fortify Rescan issues

強化現實世界場景問題: 我始終存在的真正問題不是在實際糾正要塞問題上,而是在可靠地壓制任何被確定為錯誤肯定的發現時。 我可以在報告中隱瞞它們-我對此很有信心,但這仍然不能防止在隨后的代碼掃描中發現相同的問題。 反過來,每次我們進行掃描時,都要花費大量時間來抑制它們。 因此,我可能 ...

HP Fortify:ASP.NET不良實踐:會話中存儲的非可序列化對象

[英]HP Fortify : ASP.NET Bad Practices: Non-Serializable Object Stored in Session

HttpContextHelper.cs中的方法set_UserActiveEnvironments()在第47行將一個不可序列化的對象存儲為HttpSessionState屬性,這可能會損害應用程序的可靠性 默認情況下,ASP.NET服務器存儲HttpSessionState對象,其屬性 ...

修改源代碼后不了解如何從AWB進行掃描

[英]Not understanding how to scan from AWB after modifing source code

我的項目是相當小的C項目。 從命令行運行sourceanalyzer大約需要3分鍾,以完成翻譯和掃描。 該文檔說,如果.fpr是從命令行生成的,而我需要從AWB重新掃描,則“ 更新項目轉換”按鈕將顯示為灰色(是)。 但是,如果我修改了源代碼,文檔說明我必須先更新翻譯,然后才能重新掃描代 ...

Fortify 修復經常被誤用的身份驗證

[英]Fortify fix for Often Misused Authentication

當我使用 fortify 進行掃描時,我在下面的代碼中發現了諸如“經常誤用:身份驗證”之類的漏洞。 為此,我們有任何解決方法可以避免此問題。 我看過相關帖子,但無法獲得解決方案。使用 ESAPI 我已經為主機名和 ipadress 提供了正則表達式,但它不起作用。 addr.getHostAddre ...

FortiFY在運行Java項目時排除了HPE Security Fortify Secure Coding Rules,從而達到了63%的成績。 擴展JavaScript

[英]FortiFY struck at 63% while running the java project by excluding HPE Security Fortify Secure Coding Rules. Extended JavaScript

我們在Linux平台上使用FortiFY 4.21版本的Java項目。 昨天,我們掃描了一個項目,其中包含1019個文件,並且已花費了將近3個小時來完成。 我給了“ -Xmx16G”,因為這台機器有24 GB的內存,並且除了FortiFy之外,這台機器上沒有其他應用程序在運行。 今天 ...

Fortify:與訪問控制數據庫有關的問題

[英]Fortify: Access Control Database related issue

我們一直在代碼中使用強化工具來檢查安全漏洞。 我們能夠解決大多數問題,但是發現有些問題很難解決,其中一個與訪問控制數據庫相關的問題有關,我們在代碼中使用休眠條件從DB中獲取記錄並foritfy抱怨從數據庫獲取並放入程序的數據來自不受信任的來源。下面是相同的代碼 有沒有辦法表明數據確實來 ...

Fortify插件用於gradle

[英]Fortify plugin for gradle

我一直在為一些Java組件運行fortify掃描。 以下是一般步驟:對於Java項目: mvn com.fortify.ps.maven.plugin:sca-maven-plugin:4.30:clean mvn install -DskipTests -DSTABILIT ...

強化與 Maven 的集成 - 安裝

[英]Fortify integration with Maven - install

我想對 Maven Eclipse 項目運行 Fortify 掃描。 我應該從哪里開始? 我知道我需要更新我的pom.xml文件以包含 Fortify 插件,但是我還需要在我的機器上安裝 Fortify SCA 嗎? (我正在運行 MacOS X)。 我一直在尋找下載 Fortify SCA ...


排序:
質量:
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM