Micro Focus Vahvista staattista koodin analysaattoria on automaattinen staattinen koodianalyysi, joka auttaa kehittäjiä poistamaan haavoittuvuuksia ja rakentamaan suojattuja ohjelmistoja.

Tämä viesti sisältää kuukausittain Fortify Static Code Analyzerin vinkkejä ja temppuja, jotka ovat yhteenveto useista yleisistä ongelmista Fortify Static Code Analyzerissa. Katso tästä artikkelista muiden työkalujen vianetsintävinkkejä ja temppuja.

Sisällysluettelo

• Vahvista staattisen koodin analysaattorin vinkkejä ja temppuja – tammikuu 2021
  • 1. Ohjeet käännösvirheen ratkaisemiseksi .NET-skannauksessa
  • 2. Vinkkejä ANT:lla rakennetun PHP-projektin skannaamiseen
  • 3. Ratkaise virhe, jonka käyttäjät saavat käynnistäessään Fortify Remediation
  • 4. Ohjeet kaikkien .NET-kääntäjän suorittamisen aikana tapahtuneiden käännösvirheiden korjaamiseen
  • 5. Ohjeet Fortify SCA -laajennuksen käyttämiseen yhdistävät tulokset tarkasti
  • 6. Korjataan vaihtotilan puutteesta johtuva tallennustilan puute
  • 7. Vaiheet Fortifyn käyttämiseksi Gradle C++ -koodin skannaamiseen
  • 8. Fortify Static Code Analyzer Azure Build Pipelines Extension -virheongelman ratkaiseminen
  • 9. Ohjeet DISA STIG 4.10 Report No More Visiible -virheen ratkaisemiseksi
  • 10. Ohjeet raporttien käyttöönottoon BIRTReportGenerator-komennossa MacOS:ssa
• Vahvista staattisen koodin analysaattorin vinkkejä ja temppuja – helmikuu 2021
  • 1. Virheen ratkaiseminen, kun käännös epäonnistuu, kun Android-sovellus käyttää Android-laajennusta
  • 2. Tärkeää tietoa Jenkinsin CI/CD-automaatiosta
  • 3. Lisenssin korjaaminen ei salli pääsyä Fortuity SCA:han Python-virheelle
  • 4. Ohjeet vastausten automatisoimiseen scapostinstall-skriptiä käynnistettäessä
  • 5. Ohjeet Swiftin tai muiden IO-kielten skannaamiseen Audit Workbenchissä
  • 6. Lisätään Fortify-tehtävä koontimäärityksiä varten TFS 2018:aan SCA 18.20:ssa
  • 7. Virheen korjaaminen skannattaessa .Net-sovellusta
  • 8. Ohjeet ongelman korjaamiseen, kun SCA jättää huomioimatta tyyppiskriptikoodin (.ts).
  • 9. Viestin aikaleima on alueen ulkopuolella -virheen ratkaiseminen yritettäessä muodostaa yhteyttä SSC:hen Audit WorkBenchistä
  • 10. Ohjeet ratkaisuun, kun käyttäjät ovat kadottaneet Lähdekoodi-välilehden Fortify Audit WorkBenchissä
• Vahvista staattisen koodin analysaattorin vinkkejä ja temppuja – maaliskuu 2021
  • 1. Kuinka ladata Fortify Rulepacks manuaalisesti
  • 2. Virhe avattaessa FPR-tiedostoja Audit Workbenchissä
  • 3. Virhe avattaessa Audit Workbenchiä
  • 4. CloudScan ei tunnista oikeita välityspalvelimia
  • 5. Fortify SCA -skannauksen integrointi SonarQubeen
  • 6. Ongelma Fortify SCA:n käytössä Android Project Build with Gradle -sovelluksessa
  • 7. Spring Boot -sovellus – SCA-skannaus epäonnistui
  • 8. Tarkastele harjoitusskannausta
  • 9. Siirry Kielitukeen
  • 10. Kun olet asentanut uusimman Windows-korjauksen, DISA STIG 4.10 -raportti ei enää näy
• Vahvista staattisen koodin analysaattorin vinkkejä ja temppuja – huhtikuu 2021
  • Kadotin Fortify AWB:n lähdekoodivälilehden
  • Onko IBM XL -kääntäjä tuettu?
  • SCA näyttää jättävän huomioimatta konekirjoituskoodin (.ts).
  • Tukimatriisi SCA:lle ja WIE:lle 18.20
  • Siirry kielitukeen
  • Kuinka lisäämme Fortify-tehtävän koontimäärityksiä varten TFS 2018:aan SCA 18.20:ssa?
  • Käännös epäonnistuu, kun Android-sovellus käyttää Android-laajennusta
  • Virhe skannattaessa .Net-sovellusta
  • Kuinka tarkistaa Swift- tai muut IO-kielet Audit Workbenchissä?
  • Kuinka automatisoida vastaukset, kun käynnistän scapostinstall-skriptin?
  • Viestin aikaleima on alueen ulkopuolella, kun yrität muodostaa yhteyden SSC:hen AWB:stä
  • Yritetään skannata .jar-tiedosto
• Vahvista staattisen koodin analysaattorin vinkkejä ja temppuja – toukokuu 2021
  • 1. Meidän on käytettävä eri versiota Java JRE:stä, joka on asennettu eri asennuspolulle, emmekä käytä Fortifyn sisältämää Java JRE:tä
  • 2. Ongelmia Fortify-koontivaiheiden lisäämisessä Mavenin avulla rakennettavaan Docker-kuvaan
  • 3. AWB 19.2 ei käynnisty MacOS Mojavessa
  • 4. Security Assistant Eclipse -laajennuksen ongelmat
  • 5. Mistä ladata Visual Studio 2019 -laajennus?
  • 6. Ulkoisten kirjastojen lähteiden skannaus osana pääsovellusta
  • 7. Perl-tuki
    • Ratkaisu
  • 8. SCA ei löydä Spring-Bean-Validation -merkintöjä tai Java lambda -lausekkeita
  • 9. AWB ei näytä koodia tai Project Summary -ikkunaa
  • 10. Tarvitset Fortify SCA 18.10 -asennusohjelman 32-bittiselle Windowsille
• Vahvista staattisen koodin analysaattorin vinkkejä ja temppuja – kesäkuu 2021
  • 1. Ei voida skannata SCA v20.1:llä MS Visual Studio Professional 2015:n kautta.
  • 2. Yhteysongelmat SCA:n ja SSC:n välillä.
  • 3. HP Fortify 20.1 -tuki App Dev STIG 4.11:lle.
  • 4. Etsitkö päivitysneuvoja.
  • 5. voidaanko gMSA-tilejä käyttää ja jos voi, miten.
  • 6. Poistin Fortify SCA:n asennuksen kannettavastani ja yritin poistaa sen asennuksen toisesta kannettavasta tietokoneesta, mutta kohtasin asennusvirheen. Joten pyydän apua asentaakseni työkalun uudelleen toiseen kannettavaan tietokoneeseen.
  • 7. Kuinka luodaan HAR-tiedosto?

Vahvista staattisen koodin analysaattorin vinkkejä ja temppuja – tammikuu 2021

Vahvista staattista koodin analysaattoria

1. Ohjeet käännösvirheen ratkaisemiseksi .NET-skannauksessa

Usein käy niin, että kun käyttäjät ovat päivittäneet 20.1:een .NET-skannauksessa, he saavat käännösvirheen. Voi olla, että he ovat päivittäneet Fortify-versionsa 19.2:sta viimeisimpään versioon 20.1, ja kun he suorittavat C#-skannauksen, he saavat [virheen]:

Tai jotain vastaavaa kuin jokin sen riippuvuuksista. Sattuu niin, että sisäänrakennettu kokoonpanoluettelon määritelmä ei ole yhteensopiva kokoonpanoviitteen kanssa. Siitä on poikkeus TULOS: 0x80131040

Päivitykset on tarkoitettu ratkaisemaan kaikki tietokoneen pienet tekniset ongelmat, Käyttöjärjestelmä tai mikä tahansa sovellus. Jos Fortifyn päivittäminen versiosta 19.2 versioon 20.1 aiheuttaa tämän virheen, sinun on päivitettävä jotain muuta. Voit korjata tämän virheen päivittämällä .Netin uusimpaan versioon, joka on 4.72.

2. Vinkkejä ANT:lla rakennetun PHP-projektin skannaamiseen

Käyttäjät joutuvat usein ongelmaan skannattaessa PHP-projektia. Yleensä se tapahtuu, koska käyttäjät eivät ole tietoisia erilaisista -bt-parametreista, joita käytetään komentorivillä (-bt) ScanCentralissa. Joten he käyttävät yleensä ANT:ta yhdessä build.xml:n kanssa erityisenä koontitiedostona, ja sitten se osoittaa, että sitä ei tunnisteta. Voit hyödyntää joitain ammattimaisia ​​vinkkejä tai työkaluja, jotka auttavat sinua kääntämään Java-lähdetiedostoja tiettyihin ANT-koontitiedostoa käyttäviin projekteihin.

Käyttäjien tulee käyttää integrointia komentorivillä muuttamatta tai muokkaamatta ANT build.xml tiedosto. Sitten kun koontiversio on aktivoitu, Fortify Static Code Analyzer sieppaa kaikki Javaan liittyvät tehtäväkutsut ja myöhemmin kääntää syötteen Java-lähdetiedostoista käännöshetkellä.

Sinun on erittäin tärkeää kääntää jokin niistä JSP tiedostot, määritystiedostot tai jopa muut kuin Java-lähdetiedostot, jotka ovat jo osa sovellusta eri vaiheessa. ANT-integraatiota käytettäessä käyttäjän on tarkistettava huolellisesti, että lähdeanalysaattorin suoritettava tiedosto on järjestelmän PATH:lla. Ja lisätäksesi ANT-komentorivi lähdeanalysaattorin kanssa, voit käyttää alla annettua komentoa:

3. Ratkaise virhe, jonka käyttäjät saavat käynnistäessään Fortify Remediation

Käyttäjille tapahtuu usein, että kun he suorittavat Fortify-korjauksen, he törmäävät virheeseen, joka sanoo:

Tämä on latausongelma ja mahdolliset syyt voidaan selvittää tietokannan ja lokien tarkastuksen perusteella. Kun olemme tarkistaneet tietokannan ja lokit, he löytäisivät virheen syyn, että tietokannassa on aiheuttanut jonkinlainen korruptio tai puuttuvat tiedostot. Tämä ongelma voidaan ratkaista muokkaamalla joitain asioita ja muokkaamalla joitain taulukoita.

Sinun tarvitsee vain toistaa huolellisesti alla oleva taulukko:

4. Ohjeet kaikkien .NET-kääntäjän suorittamisen aikana tapahtuneiden käännösvirheiden korjaamiseen

Käyttäjillä on usein valituksia joidenkin ratkaisun projektien käännösvirheistä, usein siksi, että matka käännöstiedoston sijaintiin on liian pitkä. Tämä erityinen virhe ilmenee, kun . NETTO kääntäjä, mitä itse asiassa tapahtuu, on se, että se tuottaa arvaamattoman poikkeuksen kirjoittaessaan NST-tiedostoa:

Koska on ilmeistä, että määritetty polku, tiedoston nimi, jompikumpi niistä on liian pitkä. On erittäin tärkeää, että hyväksytyn tiedostonimen on oltava alle 260 merkkiä pitkä. Käyttäjien tulee sitten huomata, että se on erilainen hakemiston nimellä; sen tulee olla alle 248 merkkiä.

Myös Windows API:ssa on tiettyjä poikkeuksia lukuun ottamatta raja. Windows API:ssa polun enimmäispituuden tulee olla noin 260 merkkiä (numeroita ja aakkosia), eli MAX_PATH. Yleensä paikallinen polku tehdään/luodaan alla annetussa järjestyksessä:

1. Ajokirjain
2. Kaksoispiste
3. Kenoviiva
4. Kenoviivat erottavat eri nimikomponentit.
5. Päättävä tyhjä merkki.

5. Ohjeet Fortify SCA -laajennuksen käyttämiseen yhdistävät tulokset tarkasti

On välttämätöntä ymmärtää muodollisuudet ja tekniset yksityiskohdat kaikkien skannaustietojen lopettamisesta samaan puiteohjelmaan kuuluvien hankkeiden tai osaprojektien osalta.

Kyseinen sivusto käyttää fortify-laajennusta joissakin alla olevissa projekteissa:

Projektivarasto sisältää useita moduuleja, esimerkiksi:

Tämä erityinen projekti on rakennettu siten, että se sijaitsee juurilla. Koska nämä ovat vain alimoduuleja, ne on tehty sellaisiksi, jotta ne voivat tarvittaessa laukaista loppupään työn, jossa aloitetaan täydellinen skannaus perus-tasolla. Käyttäjät voivat nähdä, että lokit ovat se aggregaattilippu, jonka arvoksi on asetettu tosi. Kun tarkistetaan laajennuksen dokumentaatiosta ja yritetään itse kumota arvo, se osoittautuu epäonnistuneeksi. Vaikka eri asioita on kokeiltu, kaikki osaprojektien skannaustiedot menevät taas suoraan samaan FPR:ään.

Voit yrittää vierailla seuraavassa hakemistossa olevassa paikassa:

Sinun täytyy mennä docs\index.html ; sitten sinun on avattava tiedosto tietyssä selaimen editorissa. Sen jälkeen sinun on valittava Käyttö ja napsauta sitten Suora kutsuminen, ja sitten voit löytää kiinteistön:

Sama ominaisuus voidaan helposti muuttaa tosi arvosta epätosi, mikä varmasti lopettaa tämän käyttäytymisen.

6. Korjataan vaihtotilan puutteesta johtuva tallennustilan puute

Kun käytät auditointityöpöytä Tämä virhe ilmenee Java-koodin 660 Kloc:n analysointia varten. Mainittu prosessi toimii taukoamatta noin Fortniten ajan laitteella. Tämä kokemus on käyttäjälle, jolla on 80 Gt:n keskusyksikkö ja 750 Gt RAM-muistia.

Laitteen Fortify käyttää noin 80 CPU:ta ja 95 % RAM-muistista, 717 Gt. Myöhemmin huomattiin, että 2-3 päivän jälkeen RAM-muistin käyttö nousi samalla 717 Gt:iin eli se on se, ja sen jälkeen se ei ole kasvanut ollenkaan.

Suoritus on hidasta; edistyminen on lähes yhtä suuri kuin ei mitään. Vaikka mikään muu sovellus ei ole käynnissä koneessa, paitsi SSCSTate ja prosessin/resurssien seuranta.

Käyttäjän kysely syntyy tästä, koska hän ei ymmärrä perimmäistä syytä ja jos hän tietämättään ylitti muistirajan. Kuinka määrittää ajo, joka muistuttaa Fortifyn tarpeesta vaihtaa tilaa?

Ilmeinen ratkaisu näyttäisi olevan AWB:n kautta, mutta sen sijaan, että suoritat skannauksen AWB:stä, voit käyttää lähdeanalysaattoria tähän menettelyyn. Molempien käyttö voi aiheuttaa tallennus-/muistiongelman, joka on toimintahäiriön perimmäinen syy.

Käyttäjien tulee käyttää tätä tehokasta menettelyä estääkseen saman virheen toistumisen. Voit sitten käyttää lähdeanalysaattoria koko ajan tällaisiin skannaustarkoituksiin. Saatavilla on korjaustiedostoja, kuten SCA 19.2.1 -korjaus. Siinä on kaikki viimeaikaiset päivitykset ja parannusalueita koskevat muutokset.

7. Vaiheet Fortifyn käyttämiseksi Gradle C++ -koodin skannaamiseen

Suorittaessaan Gradle C++ -malliprojektin yksinkertaista täydellistä tarkistusta, käyttäjät kohtaavat virheen.

Se rakentuu yleensä tarkasti ilman vaikeuksia alla annetulla komennolla:

Yleensä syy tähän virheeseen voi olla se, että build.gradle-tiedosto tehtiin etsimään CPP-tiedostoja. Myöhemmin huomataan, että vaikka suoritamme sen alkuperäisellä build.gradle-tiedostolla, se ei luo lainkaan tulostiedostoja.

Sen jälkeen sinun on päivitettävä build.gradle, joka auttaa sinua etsimään myös .c-tiedostoja, minkä jälkeen käännös tehdään. Myöhemmin lisäämällä lähdeanalysaattorin komennot ja sitten käännös toimii täydellisesti. Voit tarkistaa suorituskyvyn -show-files -parametreilla, jotka näyttävät kaikki yksityiskohdat, kuten free.c-tiedoston.

Build.gradlelle tarjotaan yleensä malliprojekti, joka on tarkoitettu C++-sovellusten rakentamiseen, joka tietty esimerkkiprojekti sisältää vain .c-tiedoston. Se on päätarkoitus, miksi Gradle rakentaa toteutettiin, kun rakentamista ei löytynyt, se onnistui.

Käännöksessä virhe ilmestyi silloin, kun lähdeanalysaattoria käytettiin. Yksinkertaisesti sanottuna syynä oli se, että SCA ei pystynyt kääntämään tiedostoja, koska Gradle-tiedostoja ei ollut. Kun new-build.gradle.zip ladataan koteloon, sen mukana tulee koontiversio.

Gradle-tiedosto auttaa kääntämään .c-tiedoston, joka oli aiemmin osa esimerkkiprojektia. Jopa Source Analyzeria käytettäessä se kääntää .c-tiedoston tarkasti ilman vaikeuksia.

8. Fortify Static Code Analyzer Azure Build Pipelines Extension -virheongelman ratkaiseminen

Käyttäjä oli usein yrittänyt asentaa Fortify SCA:ta, joko 20.1.0- tai 20.1.4-korjauksen uudelleen. Tämä auttaa PATH-muuttujien tarkistamisessa, onko MSBuild, devenv ja lähdeanalysaattori lisätty järjestelmämuuttujaan. Virhe jäi kuitenkin lähdeanalysaattorin Fortify Extension -varmistukseen. Voit ratkaista tämän ongelman seuraavien vaiheiden avulla:

1. Sinun on yritettävä poistaa aiempi Fortify-laajennus Azure DevOps -käyttöliittymästä.

2. Sitten sinun on poistettava väliaikaiset kansiot, kuten alla olevat:

3. Tämän jälkeen sinun on tyhjennettävä kaikki selaimen välimuistit, kuten selain, jota käytettiin AzureDevOps-käyttöliittymän liittymiseen.

4. Tämän jälkeen sinun on asennettava Fortify Extension for AzureDevOps (aiemmin TFS)

5. Käynnistä sitten agenttipalvelu uudelleen varovasti.

6. Nyt sinun on suoritettava täydellinen tarkistustehtävä AzureDevOpsissa.

Kun näitä vaiheita on noudatettu huolellisesti, ongelman pitäisi olla ratkaistu ja käyttäjän pitäisi pystyä tunnistamaan Source Analyzer -versio Fortify Extensionista Azure DevOpsissa.

9. Ohjeet DISA STIG 4.10 Report No More Visiible -virheen ratkaisemiseksi

Usein käy niin, että uusimman Windows-korjauksen asennuksen jälkeen näytölle tulee virhe, jossa lukee: DISA STIG 4.10 Report ei enää näy. Tämä tarkoittaa, että korjaustiedoston asennuksen jälkeen korjaustiedoston käyttäjä käyttäisi versiota 19.2.2.0006, eikä hän voi nähdä DISA STIG 4.10 -vaihtoehtoa BIRT-raporttia luodessaan.

Voit ratkaista tämän ongelman yksinkertaisesti kopioimalla rivin ReportTemplates.xml-tiedostosta SCA-versiolle 19.2.1 ja liittämällä sen sitten SCA-version 19.2.2.0006 ReportTemplates.xml-tiedostoon. Kun tämä on tehty, voit löytää kaikki tiedostot, jotka ovat SCA-asennuspolun alla. Se on sama polku, jota käytit aiemmin SCA:ta päivittäessäsi.

10. Ohjeet raporttien käyttöönottoon BIRTReportGenerator-komennossa MacOS:ssa

Usein käy niin, että käyttäjät eivät voi tuottaa raporttia BIRTReportGenerator-komennon kautta MacOS:ssa.

1. Sinun on kopioitava alla oleva tiedosto:

Fortify_SCA_and_Apps_20.1.0/Auditworkbench.app hakemistoon

Fortify_SCA_and_Apps_20.1.0/Core/private-bin/awb/eclipse/

2. Sitten tiedostoon /opt/Fortify/Fortify_SCA_and_Apps_20.1.0/bin/BIRTReportGenerator

• Sinun on kommentoitava seuraavaa:

• Seuraavalla rivillä sinun on muutettava $PARAMS arvoksi $@

• Sitten sinun on tallennettava BIRTReportGenerator tiedosto.
• Sitten sinun on suoritettava raportti; alla on esimerkki:

BIRTReportGenerator -malli Kehittäjätyökirja -lähde eightball.fpr -muotoinen PDF -tuloste eightball_birtrpt.pdf