我们正在运行fortify来检查安全漏洞,并运行sonar来清理代码。有人告诉我,我可以在fortify中配置声纳规则,这样我就可以避开声纳,节省构建时间。基本上,我想在fortify中配置声纳规则集。以便fortify检查安全漏洞、代码
浏览 3提问于2015-11-20得票数 4
我如何使用Fortify来识别特定版本的.jar文件中的漏洞,比如v1.2.1。
最重要的是,我可能有几个最新版本。由于v1.2.1在Fortify的帮助下被识别为存在漏洞,那么如何使用Fortify识别在内部使用v1.2.1 .jar文件的项目列表?
浏览 6提问于2017-12-21得票数 1
4回答
静态代码评审方法
、、、
我的问题与Veracode与Fortify/AppScan使用的静态代码分析方法有关。( A)与源代码相比,对二进制文件进行评审是否有好处/缺点?( B)哪一个提供更多的覆盖范围/漏洞。( C)任何例子都是很好的。
浏览 0提问于2014-05-14得票数 8
根据HP Fortify文档,Static Code Analyzer首先将源代码转换为中间格式,然后扫描转换后的代码并生成漏洞报告。它说翻译可以使用下面的Ant代码来完成: <param name="build.compiler" value="com.fortify.dev.ant.SCACompiler我已经在我们的Java代码上运行了Fortify,它会生成漏洞报告。但
浏览 2提问于2014-08-19得票数 2
回答已采纳
为了进行测试,如果Fortify能够在一个挂毯项目中找到漏洞,我创建了一个易受攻击的项目并扫描了它。该项目在..tml文件中包含一个反映的XSS漏洞: <t:label for="testinputfield" /></t:Form> Your
浏览 1提问于2014-04-14得票数 1
回答已采纳
3回答
加强举报“侵犯隐私”问题
、、、、
以下代码被Fortify认定为“隐私侵犯”类别的漏洞/问题。sbfOut.toString()); else if (fieldType.equals(CoConstants.DE_ELEMENT_TYPE_TN
methodName()方法在CoCustomTag.java中错误地处理机密信息,这可能会损害
浏览 5提问于2017-08-02得票数 2
3回答
谁能告诉我SonarQube和Fortify的区别是什么?两者都是静态代码分析工具。我发现Fortify更倾向于安全,因为它提供了关于OWASP,SANS等漏洞的信息。
浏览 1提问于2019-10-15得票数 9
2回答
我一直在为我的应用程序使用PMD和Findbug,但fortify设法检测到了我的应用程序中的一些安全漏洞。我想知道是否有其他开源软件可以像Fortify一样做类似的工作?
浏览 2提问于2012-08-17得票数 7
我需要检查使用Fortify在项目中使用的第三方库中的漏洞(如果有的话)。可以在.jar文件上运行Fortify吗?在大多数文档中,我所能找到的就是Fortify可以在.java文件上运行,如下所示:
-b MyProject -cp“lib/..jar”“src/*/*..java”
浏览 2提问于2013-04-29得票数 3
2回答
当我使用fortify进行扫描时,我在下面的代码中发现了5个漏洞,比如“经常被误用:身份验证”。对于这一点,我们有任何解决方法来避免这个问题。this.localAddress = InetAddress.getLocalHost().toString();
当我们调用.getLocalHost() fortify时,抱怨是一个问题。
浏览 2提问于2014-03-18得票数 1
NVD是目前已知的美国政府漏洞信息存储库。HP Fortify是否指NIST NVD CVE数据库?
浏览 9提问于2018-07-17得票数 0
2回答
我很好奇Fortify规则集在Android应用程序中寻找哪些漏洞。不幸的是,我找不到任何与此相关的文档。我知道他们到处寻找Java特有的漏洞以及对组件的权限检查--还有别的吗?SQL注入检查?
浏览 2提问于2012-10-11得票数 4
回答已采纳
3回答
我正计划购买一个安全工具,如fortify,或者声呐,或者snyk。
如何评估扫描器是否真的检测到静态漏洞和恶意软件以及运行时攻击?任何好的码头图像样本,其中包含良好的恶意软件和漏洞,我可以使用基准?
浏览 0提问于2021-11-11得票数 2
<artifactId>spring-boot-starter-parent</artifactId></parent>
对fortify相关漏洞的任何评论,或者我们是否有任何理由得到关于fortify问题的误报。
浏览 6提问于2018-10-23得票数 3
为什么它将其显示为一个漏洞,以及我如何修复它?
浏览 21提问于2016-06-17得票数 5
1回答
是否建议使用一个库来修复与org.apache.commons.beanutils.populate (bean,paramMap)相关的"Bean操作“漏洞?
浏览 2提问于2020-03-16得票数 1
回答已采纳
我正在使用fortify,它显示了攻击者在java应用程序中获取主机名时可以进行DNS欺骗的漏洞。我有一个解决方案,通过匹配前向DNS和反向DNS条目,可以避免。Fortify显示此行的漏洞。
如果检查以确保主机的前向和后向DNS条目匹配,则可以增加对域名查找的信心。
浏览 4提问于2017-04-20得票数 4
回答已采纳
Fortify显示C#中的以下代码存在XXE漏洞: XPathDocument doc = new XPathDocument(filePath); 请告诉我如何解决这个问题
浏览 29提问于2020-01-08得票数 1
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
