Mikrofookus Tugevdage staatilise koodi analüsaatorit on automatiseeritud staatiline koodianalüüs, mis aitab arendajatel turvaauke kõrvaldada ja turvalist tarkvara luua.

See postitus sisaldab igakuiseid Fortify staatilise koodianalüsaatori näpunäiteid ja näpunäiteid, mis koondavad Fortify staatilise koodianalüsaatori mitmesuguseid levinud probleeme. Sellest artiklist leiate tõrkeotsingu näpunäiteid ja nippe muude tööriistade jaoks.

Sisukord

• Staatilise koodianalüsaatori näpunäiteid ja nippe tugevdada – jaanuar 2021
  • 1. Juhend .NET-i skannimise tõlkevea lahendamiseks
  • 2. Näpunäiteid ANT-ga ehitatud PHP-projekti hõlpsaks skannimiseks
  • 3. Probleemi lahendamine, mille kasutajad saavad Fortify Remediationi käivitamisel
  • 4. Juhised kõigi .NET-i tõlkija käivitamisel ilmnenud tõlkevigade parandamiseks
  • 5. Juhised Fortify SCA pistikprogrammi koondtulemuste täpseks kasutamiseks
  • 6. Vahetusruumi vähese kasutamise tõttu tekkinud hoiuruumi puuduse parandamine
  • 7. Toimingud Fortify kasutamiseks Gradle C++ koodi skannimiseks
  • 8. Fortify Static Code Analyzer Azure Build Pipelines laienduse tõrkeprobleemi lahendamine
  • 9. Juhised DISA STIG 4.10 Report No More Visiible vea lahendamiseks
  • 10. Juhised aruannete lubamiseks MacOS-i käsus BIRTReportGenerator
• Staatilise koodianalüsaatori näpunäiteid ja nippe tugevdada – veebruar 2021
  • 1. Vea lahendamine, kui tõlkimine nurjub, kui Androidi rakendus kasutab Androidi pistikprogrammi
  • 2. Oluline teave Jenkinsi CI/CD automatiseerimise kohta
  • 3. Litsentsi parandamine ei võimalda juurdepääsu Pythoni vea jaoks Fortuity SCA-le
  • 4. Juhised vastuste automatiseerimiseks scapostinstalli skripti käivitamisel
  • 5. Juhised Swifti või mõne muu IO-keelte skannimiseks Audit Workbenchis
  • 6. SCA 18.20-s TFS 2018-sse järgu definitsioonide ülesande tugevdamine lisamine
  • 7. .Neti rakenduse skannimisel tekkinud vea parandamine
  • 8. Juhised probleemi lahendamiseks, kui SCA ignoreerib tüübiskripti (.ts) koodi
  • 9. Kui proovite Audit WorkBenchist SSC-ga ühendust luua, teate ajatempli on vahemikust väljas vea lahendamine
  • 10. Juhised, kuidas lahendada, kui kasutajad on Fortify Audit WorkBenchis kaotanud oma lähtekoodi vahekaardi
• Staatilise koodianalüsaatori näpunäiteid ja nippe tugevdada – märts 2021
  • 1. Kuidas Fortify Rulepacke käsitsi alla laadida
  • 2. Audit Workbenchis FPR-failide avamisel kuvatakse tõrge
  • 3. Viga auditi töölaua avamisel
  • 4. CloudScan ei tuvasta õigeid puhverservereid
  • 5. Fortify SCA skannimise integreerimine SonarQube'iga
  • 6. Probleem Fortify SCA käivitamisel Android Project Buildis koos Gradle'iga
  • 7. Spring Boot rakendus – SCA skannimine nurjus
  • 8. Auditi treeningu skaneerimine
  • 9. Avage keeletugi
  • 10. Pärast uusima Windowsi paiga installimist ei ole DISA STIG 4.10 aruanne enam nähtav
• Staatilise koodianalüsaatori tugevdamise näpunäited ja nipid – aprill 2021
  • Kaotasin Fortify AWB lähtekoodi vahekaardi
  • Kas IBM XL kompilaatorit toetatakse?
  • Näib, et SCA ignoreerib masinakirja (.ts) koodi
  • SCA ja WIE tugimaatriks 18.20
  • Minge keeletugi
  • Kuidas lisada SCA 18.20-s TFS 2018-le ehitusdefinitsioonide ülesande tugevdamine?
  • Tõlge nurjub, kui Androidi rakendus kasutab Androidi pistikprogrammi
  • Viga .Neti rakenduse skannimisel
  • Kuidas kontrollida Swifti või muid IO-keeli Audit Workbenchis?
  • Kuidas automatiseerida vastuseid scapostinstalli skripti käivitamisel?
  • Sõnumi ajatempel on vahemikust väljas, kui proovite AWB kaudu SSC-ga ühendust luua
  • Proovin skannida .jar-faili
• Staatilise koodianalüsaatori näpunäiteid ja nippe tugevdada – mai 2021
  • 1. Peame kasutama erinevale installiteele installitud Java JRE erinevat versiooni ja mitte kasutama Fortifys sisalduvat Java JRE-d
  • 2. Probleemid Fortify ehitusetappide lisamisel Maveniga loodavale Dockeri kujutisele
  • 3. AWB 19.2 ei käivitu MacOS Mojave'is
  • 4. Seoses Security Assistant Eclipse'i pistikprogrammi probleemidega
  • 5. Kust alla laadida Visual Studio 2019 pistikprogrammi?
  • 6. Väliste teekide allikate skannimine põhirakenduse osana
  • 7. Perli tugi
    • Lahendus
  • 8. SCA ei leia Spring-Bean-Validation annotatsioone ega Java lambda avaldisi
  • 9. AWB ei näita koodi ega projekti kokkuvõtte akent
  • 10. Vajate Fortify SCA 18.10 installerit Windows 32 bitise jaoks
• Staatilise koodianalüsaatori tugevdamise näpunäited ja nipid – juuni 2021
  • 1. SCA v20.1 abil ei saa skannida MS Visual Studio Professional 2015 kaudu.
  • 2. Ühendusprobleemid SCA ja SSC vahel.
  • 3. HP Fortify 20.1 tugi App Dev STIG 4.11 jaoks.
  • 4. Otsin uuendusi.
  • 5. kas gMSA kontosid saab kasutada ja kui jah, siis kuidas.
  • 6. Desinstallisin sülearvutist Fortify SCA ja proovisin seda desinstallida teisest sülearvutist, kuid ilmnes installitõrge. Seega pöördun abi saamiseks tööriista uuesti installimiseks teisele sülearvutile.
  • 7. Kuidas luua HAR-faili?

Staatilise koodianalüsaatori näpunäiteid ja nippe tugevdada – jaanuar 2021

Tugevdage staatilise koodi analüsaatorit

1. Juhend .NET-i skannimise tõlkevea lahendamiseks

Tihti juhtub, et pärast seda, kui kasutajad on .NET-i skannimisel versioonile 20.1 üle läinud, saavad nad tõlkevea. Võib juhtuda, et nad on uuendanud oma Fortify versioonilt 19.2 uuele versioonile 20.1 ja C# skannimisel kuvatakse [error]:

Või midagi sarnast ühe selle sõltuvusega. Juhtub, et sisseehitatud koostu manifesti definitsioon ei ühildu koostu viitega. On erand alates TULEMUS: 0x80131040

Uuendused on mõeldud kõigi arvuti väikeste tehniliste probleemide lahendamiseks, Operatsioonisüsteem või mis tahes rakendust. Kui Fortify versioonilt 19.2 versioonile 20.1 täiendamine põhjustab selle vea, peate uuendama midagi muud. Saate selle vea parandada, kui uuendate oma .Neti uusimale versioonile, milleks on 4.72.

2. Näpunäiteid ANT-ga ehitatud PHP-projekti hõlpsaks skannimiseks

Kasutajad satuvad sageli PHP-projekti skannimisel probleemidesse. Tavaliselt juhtub see seetõttu, et kasutajad ei ole teadlikud erinevatest -bt parameetritest, mida käsureal (-bt) ScanCentrali jaoks kasutada. Seega kasutavad nad tavaliselt ANT koos build.xml-ga konkreetse ehitusfailina ja siis näitab see, et seda ei tuvastata. Võite kasutada professionaalseid näpunäiteid või tööriistu, mis aitavad tõlkida Java lähtefaile konkreetsete projektide jaoks, mis kasutavad ANT-i ehitusfaili.

Kasutajad peaksid rakendama integreerimist käsureal ilma faili muutmata või muutmata ANT build.xml faili. Seejärel, kui ehitamine on aktiveeritud, püüab Fortify Static Code Analyzer kinni kõik Javaga seotud ülesannete kutsed ja tõlgib hiljem kompileerimise ajal Java lähtefailide sisendi.

Teil on väga vaja tõlkida mõni neist JSP failid, konfiguratsioonifailid või isegi mitte-Java lähtefailid, mis on juba mõnes muus etapis rakenduse osa. ANT-integratsiooni kasutamisel peab kasutaja hoolikalt kontrollima, kas lähteanalüsaatori käivitatav fail on süsteemi PATH-l. ANT käsurea ette lisamiseks lähteanalüsaatoriga saate kasutada allolevat käsku:

3. Probleemi lahendamine, mille kasutajad saavad Fortify Remediationi käivitamisel

Sageli juhtub kasutajatega, et Fortify parandamise käivitamisel ilmneb tõrge, mis ütleb:

Tegemist on laadimisprobleemiga ja võimalikud põhjused saab välja selgitada andmebaasi ja logide kontrollimise põhjal. Kui oleme andmebaasi ja logide kontrollimise lõpetanud, leiavad nad tõrke põhjuse, et selle põhjustas andmebaasis mingi korruptsioon või mõned puuduvad failid. Selle probleemi saab lahendada mõningaid asju redigeerides ja mõnda tabelit muutes.

Peate lihtsalt hoolikalt korrama allolevas tabelis toodud kirjeldust:

4. Juhised kõigi .NET-i tõlkija käivitamisel ilmnenud tõlkevigade parandamiseks

Kasutajad kurdavad sageli mõne lahenduses oleva projekti tõlkevigade üle, sageli seetõttu, et tee tõlkefaili asukohta on liiga pikk. See konkreetne viga ilmneb faili täitmise ajal. NET Tõlkija, tegelikult juhtub see, et see tekitab NST-faili kirjutamisel ettearvamatu erandi:

Kuna on üsna ilmne, et määratud tee, faili nimi, kumbki neist on liiga pikk. On ülimalt oluline, et kvalifitseeritud failinimi oleks lühem kui 260 tähemärki. Kasutajad peaksid siis märkima, et kataloogi nimi on erinev; see peaks olema vähem kui 248 tähemärki.

Windows API-s on kindlasti ka piirang, välja arvatud mõned erandid. Windows API puhul peaks tee maksimaalne pikkus olema ligikaudu 260 tähemärki (numbreid ja tähestikke), see on MAX_PATH. Tavaliselt tehakse/luuakse kohalik tee alltoodud järjekorras:

1. Sõidukiri
2. Käärsool
3. Kaldkriips
4. Kaldkriipsud eraldavad erinevaid nimekomponente.
5. Lõpetav nullmärk.

5. Juhised Fortify SCA pistikprogrammi koondtulemuste täpseks kasutamiseks

On vaja mõista formaalsusi ja tehnilisi üksikasju kogu skannimisteabe lõpetamisel samasse raamprogrammi kuuluvate projektide või alamprojektide puhul.

See konkreetne sait kasutab mõnede allpool toodud projektide jaoks pluginat fortify:

Projekti hoidlas on mitu moodulit, näiteks:

See konkreetne projekt on üles ehitatud nii, et see asub juurtes. Kuna tegemist on pelgalt alammoodulitega, on need tehtud nii, et vajaduse korral võivad nad käivitada allavoolu töö, käivitades täieliku skannimise baas asemel. Kasutajad näevad, et logid on see koondlipp, mis on seatud tõeseks. Kui kontrollime pistikprogrammi dokumentatsiooni ja proovime väärtust ise tühistada, on see ebaõnnestunud. Isegi pärast erinevate asjade proovimist läheb kogu alamprojektide skannimisteave uuesti otse samasse FPR-i.

Võite proovida külastada järgmist asukohta, mis asub kataloogis:

Peate minema aadressile docs\index.html ; seejärel peate faili avama konkreetses brauseri redaktoris. Pärast seda peate valima Kasutamine , seejärel klõpsake nuppu Otsene kutsumine, ja siis leiate kinnisvara:

Sama omadust saab hõlpsasti muuta tõesest valeks, mis kindlasti peatab selle käitumise.

6. Vahetusruumi vähese kasutamise tõttu tekkinud hoiuruumi puuduse parandamine

Kasutades auditi töölaud Java koodi 660 Kloc analüüsi jaoks ilmneb see viga. Nimetatud protsess töötab seadmes umbes Fortnite'i jooksul katkematult. See kogemus on kasutajal, kelle protsessor on 80 ja 750 GB muutmälu.

Selle seadme Fortify kasutab umbes 80 protsessorit ja 95% muutmälust, 717 GB. Hiljem tõdeti, et 2-3 päeva pärast kasvas RAM-i kasutus samaaegselt 717 GB-ni, mis siis, ja pärast seda pole see enam üldse kasvanud.

Esitus on aeglane; edusammud on peaaegu võrdsed mitte millegagi. Isegi kui masinas ei tööta ükski teine ​​rakendus, välja arvatud SSCSTate ja protsessi/ressursi jälgimine.

Siin tekib kasutaja päring, kuna ta ei saa aru algpõhjust ja kui ta ületas teadmatult mälupiirangut. Kuidas teada saada, et seadistada jooks, mis tuletab meelde, et Fortify peab ruumi vahetama?

Ilmne lahendus näib olevat AWB kaudu, kuid AWB-st skannimise asemel saate selle protseduuri jaoks kasutada allikaanalüsaatorit. Mõlema kasutamine võib põhjustada salvestus-/mäluprobleeme, mis on talitlushäire algpõhjus.

Kasutajad peaksid kasutama seda tõhusat protseduuri, et vältida sama vea kordumist. Seejärel saate sellisteks skannimiseks allikaanalüsaatorit kogu aeg kasutada. Saadaval on paigad nagu SCA 19.2.1 plaaster. Sellel on kõik hiljutised täiendused ja muudatused parendusvaldkondade osas.

7. Toimingud Fortify kasutamiseks Gradle C++ koodi skannimiseks

Gradle C++ näidisprojekti lihtsa täieliku skannimise ajal juhtub, et kasutajatel tekib tõrge.

Tavaliselt ehitatakse see täpselt ja ilma raskusteta järgmise käsuga:

Tavaliselt võib selle vea põhjuseks olla see, et fail build.gradle loodi CPP-failide leidmiseks. Hiljem on märgata, et isegi kui käivitame selle algse build.gradle'i abil, ei loo see üldse väljundfaile.

Pärast seda peate värskendama faili build.gradle ja see aitab teil otsida ka .c-faile, seejärel tehakse kompileerimine. Hiljem lisades allikaanalüsaatori käsud ja siis läheb tõlge ideaalselt. Toimivust saate kontrollida parameetrite -show-files abil, mis kuvavad kõiki üksikasju, näiteks faili free.c.

Faile build.gradle pakutakse tavaliselt näidisprojekti, mis on mõeldud C++ rakenduste koostamiseks, see konkreetne näidisprojekt sisaldab ainult .c-faili. See on peamine eesmärk, miks Gradli ehitus hukati, pärast seda, kui midagi ehitada ei leitud, õnnestus.

Tõlke puhul ilmnes viga siis, kui kasutati allikaanalüsaatorit. Lihtsamalt öeldes oli põhjus selles, et SCA ei saanud faile tõlkida, kuna Gradle'i faile polnud. Kui fail new-build.gradle.zip on korpusesse üles laaditud, on see koos järguga.

Gradle fail aitab kompileerida .c-faili, mis oli varem näidisprojekti osa. Isegi kui kasutate Source Analyzerit, tõlgib see c-faili täpselt ilma raskusteta.

8. Fortify Static Code Analyzer Azure Build Pipelines laienduse tõrkeprobleemi lahendamine

Kasutaja oli sageli proovinud Fortify SCA-d, kas 20.1.0 või 20.1.4 plaastrit uuesti installida. See aitab kontrollida PATH-muutujaid, et kontrollida, kas süsteemimuutujale on lisatud MSBuild, devenv ja allikaanalüsaator. Siiski jäi viga allikaanalüsaatori Fortify Extension verifitseerimise kohta. Saate selle probleemi lahendada järgmiste sammude abil.

1. Peate proovima desinstallida Azure DevOpsi kasutajaliidesest eelmise Fortify laienduse.

2. Seejärel peate eemaldama ajutised kaustad, nagu need, mis on toodud allpool:

3. Seejärel peate tühjendama kogu brauseri vahemälu, näiteks brauseri, mida kasutati AzureDevOpsi kasutajaliidese liitumiseks.

4. Pärast seda peate installima Fortify Extension for AzureDevOps (varem TFS)

5. Seejärel taaskäivitage agenditeenus ettevaatlikult.

6. Nüüd peate käivitama AzureDevOpsis täieliku skannimistoimingu.

Kui neid samme on hoolikalt järgitud, peaks probleem olema lahendatud ja kasutaja peaks suutma Azure DevOpsis Fortify Extensionist tuvastada Source Analyzeri versiooni.

9. Juhised DISA STIG 4.10 Report No More Visiible vea lahendamiseks

Tihti juhtub, et pärast Windowsi uusima paiga installimist ilmub ekraanile tõrge, mis ütleb: DISA STIG 4.10 Report No Longer Visible. See tähendab, et pärast plaastri installimist kasutab paiga kasutaja versiooni 19.2.2.0006 ega näe BIRT-aruande loomise ajal DISA STIG 4.10 valikut.

Saate selle probleemi lahendada, kopeerides lihtsalt rea failist ReportTemplates.xml SCA versiooni 19.2.1 jaoks ja seejärel kleepides selle kausta ReportTemplates.xml SCA versiooni 19.2.2.0006 jaoks. Kui see on tehtud, leiate kõik failid, mis asuvad SCA installitee all. See on sama tee, mida kasutasite varem SCA värskendamisel.

10. Juhised aruannete lubamiseks MacOS-i käsus BIRTReportGenerator

Tihti juhtub, et kasutajad ei saa MacOS-is käsu BIRTReportGenerator kaudu aruannet koostada.

1. Peate kopeerima alloleva faili:

Fortify_SCA_and_Apps_20.1.0/Auditworkbench.app kataloogi

Fortify_SCA_and_Apps_20.1.0/Core/private-bin/awb/eclipse/

2. Seejärel failis /opt/Fortify/Fortify_SCA_and_Apps_20.1.0/bin/BIRTReportGenerator

• Peate kommenteerima järgmist:

• Seejärel peate järgmisel real muutma $ PARAMS väärtuseks $@

• Seejärel peate salvestama BIRTReportGenerator faili.
• Seejärel peate aruande käivitama; näide on toodud allpool:

BIRTReportGenerator – mall Arendaja töövihik – allikas eightball.fpr – PDF-vorming – väljund eightball_birtrpt.pdf