Fortify를 사용하여 프로젝트에서 사용중인 타사 라이브러리의 취약점 (있는 경우)을 확인해야합니다..java 대신 .jar 파일에서 강화를 실행할 수 있습니까?
일부 타사 라이브러리의 경우 해당 소스 파일에 액세스 할 수 없습니다. 배송 된 .jar 파일 만 있습니다.
대신 Fortify를 .jar 파일로 실행할 수 있습니까? "SRC/ */* 자바를
sourceanalyzer -b MyProject를 -cp"lib 디렉토리/의 .jar ". 나는 문서화의 대부분에서 찾을 수있는 모든 포티는, java 파일에 이런 일을 실행할 수있는 것이 었습니다 "
다음 명령을 사용하여 클래스 파일을 검색 SCA를 강제 할 수 있습니다 내가 정확히 기억 경우에 검사 할 클래스 파일을 포함하는 JAR 파일 {source_path을} 폭발 할 필요가
sourceanalyzer -b MyProject -source "1.6" -cp "{source_path}/**/*.jar" -scan -f MyProject.fpr -Dcom.fortify.sca.fileextensions.class=BYTECODE -Dcom.fortify.sca.DefaultFileTypes=class "{source_path}/**/*.class"
.
Java 소스 스캔과 비교해 볼 때 결과는 매우 뛰어나지 만 약간의 결과가 나타납니다.
당신은 LaJmOn의 제안보다 더 나은 것을 할 수 있으며 실제로는 자동으로 항아리를 열 수 있습니다. 예를 들어
:
sourceanalyzer -b apple -source 1.6 -Dcom.fortify.sca.fileextensions.jar=ARCHIVE /System/Library/Frameworks/JavaVM.framework/Home/lib/ext/apple_provider.jar
이 기술은 문서화되지 않았으므로 Fortify에서 지원하지 않습니다. –
예, 문서화되지 않았지만이 옵션이 존재하며 HP SCA 전문가가 잘 알고 있습니다. 다음과 같이 WAR 파일을 스캔 할 수도 있습니다 : com.fortify.sca.fileextensions.war = ARCHIVE –
WAR 파일로 컴파일 된 .class 파일을 분석하려고하면 분석기가 WAR 파일이 디렉토리 일 것으로 예상하는 것처럼 .class 파일을 찾을 수 없습니다 . –
감사합니다, 된 .java가 반드시 존재하는 파일이 의무적 없다는 것을 의미하므로. .class 파일을 (.java로 컴파일하지 않고) 스캔 할 수 있습니까? –
예. .class 파일에 대한 Byte Code 스캔을 직접 수행합니다. – LaJmOn
정말 고맙습니다. –