Возможно ли сканирование Fortify-кода с помощью Scala

Fortify SCA теперь официально поддерживает Scala (с декабря 2017 г.).

Добавление этой поддержки стало совместным проектом Lightbend и Micro Focus.

Я выполнил большую часть инженерной работы на стороне Lightbend, написав подключаемый модуль компилятора, который переводит код Scala в промежуточную форму, которую понимает Fortify. Micro Focus добавила правила безопасности для Scala и внесла необходимые изменения в серверную часть Fortify. (Они также позаботились о том, чтобы существующие правила Java также работали для эквивалентного кода Scala, когда это уместно.)

Видеть:

• https://www.lightbend.com/blog/developing-secure-scala-applications-with-fortify-for-scala (45-минутный веб-семинар)
• https://lightbend.com/fortify (форма, чтобы запросить дополнительную информацию у отдела продаж Lightbend)
• https://developer.lightbend.com/docs/fortify/current/ ( техническая документация)

Обратите внимание, что Fortify SCA является коммерческим программным обеспечением, как и новый подключаемый модуль Scala. Для их использования необходимо

• иметь лицензию Fortify SCA (или использовать Fortify on Demand)
• также быть подписчиком Lightbend

Я видел ответ Джеймса Роупера (Play) на этот вопрос. https://groups.google.com/forum/#!topic/play-framework/MtatDozyDjg

По сути, он говорит, что любые проблемы, которые могут быть обнаружены с помощью инструмента статического анализа кода, являются ошибкой в ​​​​API и должны быть исправлены. JAVA не может этого сделать из-за обратной совместимости.

Я протестировал код Scala, используя движок Fortify SCA 3.8, 4.21. Fortify не обнаружил проблем. Если я правильно помню, я видел много предупреждений на этапе перевода, поэтому я предполагаю, что у Fortify нет собственного парсера для кода scala.