Вопросы по теме 'fortify'
Могу ли я запустить fortify для файлов .jar вместо .java?
Мне нужно проверить уязвимости (если они есть) в сторонних библиотеках, которые используются в моем проекте с помощью Fortify.
Для нескольких сторонних библиотек я не могу получить доступ к их исходным файлам. У меня есть только отправленные файлы...
10169 просмотров
schedule
12.09.2022
Улучшить отчет SCA/SSC для IA?
Я разработчик, работающий над приложением C# среднего размера, и я использую подключаемый модуль Fortify Secure coding для Visual Studio 2010, чтобы регулярно выполнять статический анализ кода. Мы приближаемся к концу этого цикла разработки, и меня...
1259 просмотров
schedule
16.03.2024
Как подавить ложные срабатывания в Fortify
У меня есть два вопроса относительно Fortify.
1. Допустим, у меня есть приложение Windows Forms, которое запрашивает имя пользователя и пароль, а имя текстового поля для пароля — texboxPassword. Итак, в файле дизайнера у вас есть следующее,...
11260 просмотров
schedule
22.06.2023
Укрепить ошибку исходного анализатора
Когда я запускаю задачу sourceanalyzer ant для анализа кода java и jsp, я получаю сообщение об ошибке, например:
Не удалось создать каталог /export/home/olbbbld/.fortify/sca5.10/build
Что вызывает эту ошибку?
1271 просмотров
schedule
08.06.2024
Запуск сканирования fortify для файлов .cs
Можно ли запустить сканирование Fortify для файлов .cs? искал в сети и SF, но не получил конкретного ответа. Структура проекта примерно такая: https://pnppubsub.codeplex.com/SourceControl/latest
Некоторые из проектов представляют собой...
7744 просмотров
schedule
13.09.2022
Возможно ли сканирование Fortify-кода с помощью Scala
Могу ли я использовать Fortify для сканирования кода scala или сгенерированных файлов java (jar)? Я знаю, что технически могу сделать вариант jar, но есть ли какие-либо известные проблемы в отношении сгенерированного java-кода?
2624 просмотров
schedule
11.03.2024
Можно ли узнать идентификаторы основных правил Fortify?
Я пытаюсь подавить некоторые основные правила Fortify, поскольку они являются ложными срабатываниями для нашей организации. Однако я не могу найти способ узнать их идентификаторы правил, которые необходимы для тега SuppressionRule. Я проверил на...
1059 просмотров
schedule
17.07.2022
Плагин Fortify для Gradle
Я выполняю сканирование для некоторых компонентов Java. Ниже приведены общие шаги: Для проекта Java:
mvn com.fortify.ps.maven.plugin:sca-maven-plugin:4.30:clean
mvn install -DskipTests -DSTABILITY_ID=1 -DRELEASE_NUMBER=0 -DBUID_ID=1
mvn...
2468 просмотров
schedule
08.05.2023
Укрепление и репозитории исходного кода
Я начинаю с HP Fortify SCA и хочу знать, как подключить его к репозиторию исходного кода. Я читал и искал, как его интегрировать, но я ничего не нашел об этом.
1357 просмотров
schedule
26.05.2023
Управление паролями: Жестко закодированный пароль в html
Список Fortify выводит следующую строку как уязвимую для атаки в категории — Password Management : Hard coded Password . Хотя я не жестко закодировал пароль. Почему он показывает это как уязвимость и как мне это исправить?...
4245 просмотров
schedule
09.01.2023
tryLock неопубликованный ресурс
Приведенный ниже код был помечен Fortify как нарушение («неосвобожденный ресурс» для блокировки).
try {
if (lock.tryLock(1, TimeUnit.SECONDS)) {
try {
//do something
}
finally {
lock.unlock();
}
}
catch...
330 просмотров
schedule
20.07.2022
Усилить массовое назначение из-за From URI
После сканирования моего кода я получаю Fortify: Mass Assignment: Insecure Binder Configuration.
Это исходит от контроллера, который использует FromUri:
public ReturnType Search([FromUri] SearchType searchObject)
Я понимаю, что проблема в...
628 просмотров
schedule
07.09.2022
Как решить проблему нарушения конфиденциальности в HPE?
Мы используем HPE для проверки потенциальных рисков кода, я обнаружил одну критическую проблему ниже в классе утилиты Log «Метод d () в LogUtil.java неправильно обрабатывает конфиденциальную информацию, что может поставить под угрозу...
2154 просмотров
schedule
11.09.2022
Какое решение для массового назначения: уязвимость конфигурации небезопасного связывателя?
У меня есть этот контроллер в Java:
@Controller
public class AuthenticationController extends AbstractController {
@RequestMapping(value = Constantes.MAPPING_AUTH_BASE_ASP, method = { RequestMethod.POST })
public String authenticate(@Valid...
25639 просмотров
schedule
11.07.2023
Как определить конкретное значение ошибок с помощью Fortify?
Сегодня мне сказали использовать Fortify в первый раз, и я просмотрел несколько основных обучающих .pdf-файлов, которые были умеренно полезными, но теперь я застрял. По сути, первые несколько ошибок, которые он обнаружил, были простыми жестко...
554 просмотров
schedule
12.09.2022
Как исправить подделку логов в C#
Я использую Log4net для входа в свое приложение веб-API. Я использую приведенный ниже код для регистрации предупреждений и ошибок в базе данных.
public async Task<int> ExecuteNonQuery(string procedureName,params SqlParameter[] parameters)...
4558 просмотров
schedule
30.12.2023
fortify жалуется на ресурс в блоке try-with-resources
У меня есть блок try-with-resources, который запускает несколько автоматически закрываемых объектов
try (BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(new FileInputStream("some-file), "UTF-8"))) {
.........
590 просмотров
schedule
24.02.2022
Fortify не распознает лямбду
Мертвый код: неиспользуемый метод
Fortify определяет лямбда-методы как неиспользуемые. Например: у меня есть следующий метод: getCountryCode , несмотря на то, что он используется во многих местах, fortify сообщает о нем как о неиспользуемом...
1803 просмотров
schedule
21.01.2023
Fortify нашел скрытые поля, когда я не указал ни одного
Сканирование Fortify показало, что у меня есть скрытые поля. Я не указываю скрытый атрибут в своих полях, НО я использую MaskedEditExtender. Когда ответ возвращается на страницу с MaskedEditExtender, это поле имеет скрытый атрибут....
542 просмотров
schedule
20.03.2022
Fortify: как получить список проблем (уязвимостей) в рамках проекта с помощью fortify rest API
Я пытаюсь узнать REST API для извлечения всех уязвимостей на веб-сайте укрепления. Например, я могу получить информацию о приложении, нажав ' https://fortifyssc.xxx.com//api/v1/projects?q=id :"8731"'
В этом приложении есть так много списков...
516 просмотров
schedule
17.11.2022
