小编Dou*_*eld的帖子

Fortify SCA和Fortify SSC有什么区别.这些软件生成的报告之间是否存在任何差异.我知道Fortify SSC是一个基于网络的应用程序.我也可以将Fortify SCA用作基于Web的应用程序吗？

我们有Fortify SCA,我们正在设置源代码的定期自动扫描.我们的目的是在出现安全问题时发出警报.有没有办法,也许使用FPRUtility(或其他方法)来实现这一目标？最终我更喜欢可以从命令行轻松运行的东西,但是如果这也可以使用GUI完成,那么我将非常感谢知道如何做到这一点.

如果我想在.net源上运行Fortify(从命令行),是否需要在计算机上安装Visual Studio？我试图从命令行运行fortify但它始终抱怨Build ID不存在.

谢谢,塔拉辛格

Fority Scan在以下代码段中报告了"Path Manipulation"安全问题

String filePath = getFilePath(fileLocation, fileName);
final File file = new File(filePath);
LOGGER.info("Saving report at : " + filePath);
BufferedWriter fileWriter = new BufferedWriter(new FileWriter(file));
fileWriter.write(fileContent);

所以我在fileLocation中检查列入黑名单的字符并抛出异常,但Fortify仍在抛出异常.

try {
    String filePath = getFilePath(fileLocation, fileName);
    if (isSecurePath(filePath)) {
      final File file = new File(filePath);
      LOGGER.info("Saving report at : " + filePath);
      BufferedWriter  fileWriter = new BufferedWriter(new FileWriter(file));
      fileWriter.write(fileContent);
    } else {
      throw new Exception("Security Issue. File Path has blacklisted characters");
    }

} catch (final Exception e) {
    LOGGER.error("Unable to …

我的公司要求我们的ASP.NET代码在发布代码之前通过Fortify 360扫描.我们到处使用AntiXSS来清理HTML输出.我们还验证输入.不幸的是,他们最近更改了Fortify正在使用的"模板",现在它将我们所有的AntiXSS调用标记为"糟糕验证".这些调用正在执行AntiXSS.HTMLEncode(sEmailAddress).

任何人都知道什么会满足Fortify？它标记的很多东西都是输出,其中值来自数据库而根本不是来自用户,所以如果HTMLEncode不够安全,我们根本不知道是什么!

我很好奇Fortify规则集在Android应用程序中寻找的漏洞.不幸的是我无法找到相同的文档.我知道他们会查看Java特定的漏洞以及组件的权限检查 - 其他什么？SQL注入检查？意图检查？

我想我会分享我今天发现的解决方法.不能以我习惯的方式创建RSA密钥....

重现的步骤:

1. 在Windows Server 2008 R2上安装Java Development Kit jdk-6u30-windows-x64.exe.包括公共JRE.

2. 使用以下参数运行JRE的bin\keytool实用程序:

   keytool -genseckey -alias FOO -keystore FOO.jks -keyalg RSA -validity 1825

预期结果:

自签名证书创建向导

实际结果:

抛出:NoSuchAlgorithmException; 不能支持算法"RSA"

解决方法:

当然我尝试使用小写"rsa",但这不起作用.有用的是使用未记录的前方法"-genkey"而不是"-genseckey"

Fortify在进行新File（path）比较的行上给出了Path Manipulation错误。我正在使用Struts 2。

谁能告诉我如何解决此问题，以使设防不会出现此错误？

private boolean filePresent(String fileName) {
    if (fileName != null) {
        String path = getDirPath();
        if (path != null) {
            path = path.endsWith("/") ? path : path + "/";
            path = path + fileName;
            if (new File(path).exists()) {
                setFileName(fileName);
                return true;
            }
        }
    }
    return false;
}

我需要查看文件是否存在于我们的Web服务器中，因此我将文件名作为参数传递，从web.xml获取整个目录路径，将其附加到文件名，然后组成路径并进行检查针对File对象，查看其是否存在。

我正在尝试通过命令行下载我的Fortify 360 fpr文件,因此我可以使用以下命令自动执行进程:

fortifyclient -url [url] -authtoken [token] downloadFPR -file "C:\path\to\local\Fortify.fpr" -projectID [projectID]

问题是,当我尝试这个时,我收到以下消息:

Access Denied.  Please ensure the requested project exists and the supplied user has appropriate permissions.

我拥有通过Web UI上传/下载fpr所需的所有权限,并且我已经能够从命令行成功上传fpr,它只是下载它我遇到了问题.

我是哈德森的新人.我想在Hudson中执行'sourcecodeanalyzer'命令作为Post-build Actions来生成html报告.请尽可能让我知道,如果是,请告诉我Hudson执行命令的配置步骤.

您在这方面的最早回应将非常有帮助.

提前致谢.

经过一些关于"空取消引用"的测试后,下面的代码可以"取消引用空指针,从而引发NullException".

if((validateControl as WebControl) != null)
    (validateControl as WebControl).CssClass (IsValid) ? "stack" : "overflow";

可以(validateControl as WebControl).CssClass为null,上面使用？

结果见于由Fortify生成的文档中.