Запуск сканирования fortify для файлов .cs

Это не совсем правильно. Fortify НЕ НУЖНО компилировать код для выполнения сканирования. Он может принимать предварительно скомпилированные сборки .Net, если они собраны в конфигурации отладки и присутствуют файлы .pdb.

Например, проект VS2012 (типичная структура папок VS):

MyProject\MyProject\bin\Debug\MyProject.dll
MyProject\MyProject\bin\Debug\MyProject.pdb
MyProject\MyProject\MyProject.csproj
MyProject\MyProject\MyProject.cs
MyProject\MyProject.sln

Ваша пошаговая команда Translate будет выглядеть примерно так:

sourceanalyzer -b MyProjectScan -vsversion 11.0 MyProject

Sourceanalyzer проверит папку MyProject и все подпапки на наличие сборок и .pdb файлов. Параметр -vsversion 11.0 сообщает Sourceanalyzer, с какой платформой .Net были созданы сборки.

Нет, Fortify требует шага компиляции для сканирования кода C#. Самый простой способ просканировать приложение .NET с помощью Fortify — использовать подключаемый модуль Visual Studio или запустить из командной строки:

sourceanalyzer -b mybuild devenv myproj.sln /REBUILD DEBUG

Вы также можете попробовать опубликовать информацию о проблемах Fortify на их онлайн-форуме по адресу https://protect724.hp.com. Группа поддержки следит за этими форумами.

Обновлено: я не могу прокомментировать комментарий Джеймса Никса выше, потому что у меня недостаточно репутации, но то, что он говорит, может работать. Компиляция произошла (у вас есть DLL), поэтому мой ответ правильный. Я хотел прокомментировать важное предостережение, которое Джеймс не упоминает, — убедиться, что у вас есть ВЕСЬ код. При сканировании .NET DLL с файлами PDB будут сканироваться только те DLL, на которые вы укажете. Если это веб-приложение, файлы ASPX должны быть предварительно скомпилированы для создания библиотек DLL с PDB. Если этого не произойдет, анализ потока данных будет существенно затронут. В общем, я советую клиентам использовать эту опцию только тогда, когда вы не можете выполнить сканирование сборки. Есть много места для ошибки.