Мне нужно проверить уязвимости (если они есть) в сторонних библиотеках, которые используются в моем проекте с помощью Fortify.
Для нескольких сторонних библиотек я не могу получить доступ к их исходным файлам. У меня есть только отправленные файлы .jar.
Можно ли вместо этого запустить Fortify для файлов .jar? Все, что я смог найти в большинстве документации, это то, что Fortify можно запускать с файлами .java, что-то вроде этого:
sourceanalyzer -b MyProject -cp "lib/.jar" "src/*/*.java"
Вы можете сделать что-то лучше, чем предлагает ЛаДжмон, и открыть банки автоматически.
Например:
sourceanalyzer -b apple -source 1.6 -Dcom.fortify.sca.fileextensions.jar=ARCHIVE /System/Library/Frameworks/JavaVM.framework/Home/lib/ext/apple_provider.jar
Вы можете заставить SCA сканировать файлы классов, используя следующую команду:
sourceanalyzer -b MyProject -source "1.6" -cp "{source_path}/**/*.jar" -scan -f MyProject.fpr -Dcom.fortify.sca.fileextensions.class=BYTECODE -Dcom.fortify.sca.DefaultFileTypes=class "{source_path}/**/*.class"
Если я правильно помню, вам нужно взорвать файлы JAR, содержащие файлы классов, которые вы хотите отсканировать, в {source_path}.
Результаты будут менее впечатляющими по сравнению со сканированием исходного кода Java, но вы должны получить некоторые результаты.
