Могу ли я использовать Fortify для сканирования кода scala или сгенерированных файлов java (jar)? Я знаю, что технически могу сделать вариант jar, но есть ли какие-либо известные проблемы в отношении сгенерированного java-кода?
Возможно ли сканирование Fortify-кода с помощью Scala
Ответы (3)
Fortify SCA теперь официально поддерживает Scala (с декабря 2017 г.).
Добавление этой поддержки стало совместным проектом Lightbend и Micro Focus.
Я выполнил большую часть инженерной работы на стороне Lightbend, написав подключаемый модуль компилятора, который переводит код Scala в промежуточную форму, которую понимает Fortify. Micro Focus добавила правила безопасности для Scala и внесла необходимые изменения в серверную часть Fortify. (Они также позаботились о том, чтобы существующие правила Java также работали для эквивалентного кода Scala, когда это уместно.)
Видеть:
- https://www.lightbend.com/blog/developing-secure-scala-applications-with-fortify-for-scala (45-минутный веб-семинар)
- https://lightbend.com/fortify (форма, чтобы запросить дополнительную информацию у отдела продаж Lightbend)
- https://developer.lightbend.com/docs/fortify/current/ ( техническая документация)
Обратите внимание, что Fortify SCA является коммерческим программным обеспечением, как и новый подключаемый модуль Scala. Для их использования необходимо
- иметь лицензию Fortify SCA (или использовать Fortify on Demand)
- также быть подписчиком Lightbend
Я видел ответ Джеймса Роупера (Play) на этот вопрос. https://groups.google.com/forum/#!topic/play-framework/MtatDozyDjg
По сути, он говорит, что любые проблемы, которые могут быть обнаружены с помощью инструмента статического анализа кода, являются ошибкой в API и должны быть исправлены. JAVA не может этого сделать из-за обратной совместимости.
Я протестировал код Scala, используя движок Fortify SCA 3.8, 4.21. Fortify не обнаружил проблем. Если я правильно помню, я видел много предупреждений на этапе перевода, поэтому я предполагаю, что у Fortify нет собственного парсера для кода scala.