Analitzador De Codi Estàtic Fortify

Analitzador de codi estàtic Micro Focus Fortify: consells i trucs

4 de novembre de 2021

Micro Focus Analitzador de codi estàtic Fortify és una anàlisi de codi estàtic automatitzada que ajuda els desenvolupadors a eliminar vulnerabilitats i crear programari segur.

Aquesta publicació inclourà els trucs i consells mensuals de Fortify Static Code Analyzer, que seran una consolidació de diversos problemes comuns a Fortify Static Code Analyzer. Consulteu aquest article per obtenir consells i trucs de resolució de problemes per a altres eines.

Taula de continguts

  • Consells i trucs de Fortify Static Code Analyzer - Gener de 2021
  • Consells i trucs de Fortify Static Code Analyzer - febrer de 2021
    • 1. Resoldre l'error quan falla la traducció quan l'aplicació d'Android utilitza el connector d'Android
    • 2. Informació important sobre l'automatització de Jenkins CI/CD
    • 3. Arreglar la llicència no permet l'accés a Fortuity SCA per error de Python
    • 4. Instruccions per automatitzar les respostes en iniciar l'script scapostinstall
    • 5. Instruccions per escanejar Swift o qualsevol altre idioma d'IOs a Audit Workbench
    • 6. Afegir la tasca Fortificar per a les definicions de compilació a TFS 2018 a SCA 18.20
    • 7. Arreglar l'error en escanejar una aplicació .Net
    • 8. Instruccions per solucionar el problema quan SCA ignora el codi de tipus script (.ts).
    • 9. La resolució de l'error de marca de temps del missatge està fora de rang quan s'intenta connectar-se a SSC des d'Audit WorkBench
    • 10. Instruccions per resoldre quan els usuaris han perdut la pestanya Codi font a Fortify Audit WorkBench
  • Consells i trucs de Fortify Static Code Analyzer - març de 2021
    • 1. Com descarregar manualment Fortify Rulepacks
    • 2. S'està produint un error en obrir fitxers FPR a Audit Workbench
    • 3. Error en obrir Audit Workbench
    • 4. CloudScan no detecta els servidors intermediaris correctes
    • 5. Integració de Fortify SCA scan amb SonarQube
    • 6. Problema en executar Fortify SCA a Android Project Build amb Gradle
    • 7. Aplicació Spring Boot: l'escaneig SCA falla
    • 8. Escaneig d'entrenament d'auditoria
    • 9. Go Language Support
    • 10. Després d'instal·lar l'últim pedaç de Windows, l'informe DISA STIG 4.10 ja no és visible
  • Consells i trucs de Fortify Static Code Analyzer - abril de 2021
    • He perdut la pestanya del meu codi font a Fortify AWB
    • És compatible el compilador IBM XL?
    • SCA sembla ignorar el codi mecanografiat (.ts).
    • Matriu de suport per a SCA i WIE 18.20
    • Go de suport lingüístic
    • Com afegim la tasca Fortificar per crear definicions a TFS 2018 a SCA 18.20?
    • La traducció falla quan l'aplicació d'Android utilitza el connector d'Android
    • Error en escanejar una aplicació .Net
    • Com escanejar Swift o altres idiomes d'IO a Audit Workbench?
    • Com automatitzar les respostes quan inici l'script scapostinstall?
    • La marca de temps del missatge està fora de l'interval quan s'intenta connectar-se a SSC des d'AWB
    • S'està intentant escanejar un fitxer .jar
  • Consells i trucs de Fortify Static Code Analyzer: maig de 2021
    • 1. Hem d'utilitzar una versió diferent del Java JRE instal·lat dins d'una ruta d'instal·lació diferent i no utilitzar el Java JRE inclòs a Fortify
    • 2. Problemes per afegir els passos de compilació de Fortify a una imatge de Docker que s'està creant amb Maven
    • 3. AWB 19.2 no s'inicia a MacOS Mojave
    • 4. Pel que fa als problemes del connector d'Eclipse de Security Assistant
    • 5. On descarregar el connector de Visual Studio 2019?
    • 6. Escaneig de fonts de biblioteques externes com a part de l'aplicació principal
    • 7. Suport de Perl
      • Solució
    • 8. SCA no troba anotacions Spring-Bean-Validation ni expressions lambda Java
    • 9. AWB no mostra el codi ni la finestra Resum del projecte
    • 10. Necessiteu l'instal·lador de Fortify SCA 18.10 per a Windows de 32 bits
  • Consells i trucs de Fortify Static Code Analyzer: juny de 2021
    • 1. No es pot escanejar amb SCA v20.1 mitjançant MS Visual Studio Professional 2015.
    • 2. Problemes de connexió entre SCA i SSC.
    • 3. Compatibilitat amb HP Fortify 20.1 per a App Dev STIG 4.11.
    • 4. Buscant consells d'actualització.
    • 5. si es poden utilitzar els comptes gMSA i, si és així, com.
    • 6. Vaig desinstal·lar Fortify SCA del meu ordinador portàtil i vaig intentar desinstal·lar-lo en un ordinador portàtil diferent, però vaig trobar un error d'instal·lació. Per tant, demano ajuda per tornar a instal·lar l'eina en un ordinador portàtil diferent.
    • 7. Com crear un fitxer HAR?

Consells i trucs de Fortify Static Code Analyzer - Gener de 2021

Analitzador de codi estàtic Fortify

1. Instrucció per resoldre l'error de traducció a l'exploració .NET

Sovint passa que després que els usuaris hagin actualitzat a 20.1 a l'exploració .NET, reben un error de traducció. Pot ser que hagin actualitzat el seu Fortify de la 19.2 a la recent 20.1 i quan executen una exploració C# rebin un [error]:

|_+_|

O alguna cosa semblant a una de les seves dependències. Succeeix que la definició del manifest del conjunt integrat no és compatible amb la referència del conjunt. Hi ha una excepció de RESULTAT: 0x80131040

Les actualitzacions estan destinades a resoldre tots els petits problemes tècnics de l'ordinador, Sistema operatiu , o qualsevol aplicació. Si l'actualització de Fortify de 19.2 a 20.1 provoca aquest error, haureu d'actualitzar una altra cosa. Podeu corregir aquest error mentre actualitzeu el vostre .Net a la darrera versió, que és la 4.72.

2. Consells per escanejar fàcilment un projecte PHP que es construeix amb una ANT

Els usuaris sovint es troben amb un problema mentre escanegen un projecte PHP. Normalment, passa perquè els usuaris desconeixen els diferents paràmetres -bt que s'han d'utilitzar per a ScanCentral a la línia d'ordres (-bt). Per tant, solen utilitzar ANT, juntament amb build.xml com a fitxer de compilació específic, i després mostra que no es reconeix. Podeu fer servir alguns consells o eines professionals que us ajuden a traduir fitxers font de Java per a projectes específics que utilitzen un fitxer de compilació ANT.

Els usuaris haurien d'aplicar la integració a la línia d'ordres sense canviar ni modificar ANT build.xml dossier. Aleshores, quan s'activa la compilació, Fortify Static Code Analyzer intercepta totes les invocacions de tasques relacionades amb Java i més tard tradueix l'entrada dels fitxers font de Java en el moment de la compilació.

És molt necessari que traduïu qualsevol dels JSP fitxers, fitxers de configuració o fins i tot els fitxers font no Java que ja formen part de l'aplicació en un pas diferent. Mentre utilitza la integració ANT, l'usuari ha de comprovar amb cura que l'executable de l'analitzador d'origen estigui al PATH del sistema. I per anteposar la vostra línia d'ordres ANT amb l'analitzador d'origen, podeu utilitzar l'ordre que es mostra a continuació:

|_+_|

3. Solucionar l'error que obtenen els usuaris en iniciar Fortify Remediation

Sovint passa amb els usuaris que quan executen la correcció de Fortify, es troben amb un error que diu:

|_+_|

Aquest és un problema de càrrega i les possibles causes es poden resoldre a partir de la inspecció de la base de dades i els registres. Un cop acabem de comprovar la base de dades i els registres, trobaran la causa de l'error que el va causar algun tipus de corrupció a la base de dades o alguns fitxers que falten. Aquest problema es pot resoldre editant algunes coses i modificant algunes taules.

Només has de repetir el que es mostra a continuació a la taula, amb cura:

|_+_|

4. Instruccions per corregir tots els errors de traducció que es van produir durant l'execució del traductor .NET

Els usuaris tenen una queixa freqüent sobre els errors de traducció d'alguns dels projectes de la solució, sovint perquè el camí fins a la ubicació del fitxer de traducció és massa llarg. Aquest error específic es produeix en el moment de l'execució del fitxer . NET traductor, el que realment passa és que produeix una excepció impredictible mentre s'escriu el fitxer NST:

|_+_|

Com és força evident que el camí especificat, el nom del fitxer, qualsevol d'ells és massa llarg. És de gran importància que el nom del fitxer qualificat hagi de tenir menys de 260 caràcters. Els usuaris haurien de tenir en compte que el nom del directori és diferent; hauria de tenir menys de 248 caràcters.

A l'API de Windows, sens dubte, amb algunes excepcions, també hi ha un límit. Per a l'API de Windows, la longitud màxima d'un camí ha de ser d'aproximadament 260 caràcters (nombres i alfabets), és a dir, MAX_PATH. Normalment, es fa/crea un camí local en l'ordre que es mostra a continuació:

  1. Carta de conducció
  2. Còlon
  3. Barra invertida
  4. Les barres invertides separen diversos components del nom.
  5. Un caràcter nul final.

5. Instruccions per utilitzar els resultats agregats del complement Fortify SCA amb precisió

Cal entendre els tràmits i detalls tècnics per finalitzar tota la informació d'escaneig dels projectes o subprojectes que entren en el mateix FPR.

Aquest lloc específic està utilitzant el connector fortify en la seqüència d'alguns projectes que es mostra a continuació:

|_+_|

El repositori del projecte conté diversos mòduls, per exemple:

|_+_|

Aquest projecte concret s'estructura de manera que se situa a l'arrel. Com que només són submòduls, es fan d'aquesta manera perquè quan sigui necessari, puguin desencadenar un treball aigües avall d'iniciar una exploració completa al nivellase. Els usuaris poden veure que els registres són la marca agregada que s'estableix com a vertader. Quan es comproveu a través de la documentació del connector i intentem desactivar el valor pel nostre compte, es demostra que és un fracàs. Fins i tot després de provar coses diferents, tota la informació d'escaneig dels subprojectes torna directament al mateix FPR.

Podeu provar de visitar la següent ubicació que es troba al directori:

|_+_|

Has d'anar al docs\index.html ; aleshores, heu d'obrir el fitxer en un editor de navegador concret. Després d'això, cal seleccionar Ús , després feu clic a Invocació directa, i llavors podreu trobar la propietat:

|_+_|

La mateixa propietat es pot canviar fàcilment de true a false, la qual cosa segurament aturarà aquest comportament.

|_+_|

6. Arreglar l'escassetat d'emmagatzematge per manca d'ús de l'espai d'intercanvi

Mentre s'utilitza el banc de treball d'auditoria amb finalitats d'anàlisi pel que fa al codi 660 KLoc de Java, es produeix aquest error. Aquest procés s'executa sense parar durant un Fortnite al dispositiu. Aquesta experiència és d'un usuari amb un dispositiu que té una CPU de 80 i 750 GB de RAM.

El Fortify d'aquest dispositiu utilitza aproximadament la totalitat de la CPU 80 i el 95% de la memòria RAM, 717 GB. Més tard es va adonar que després de 2-3 dies, l'ús de RAM va augmentar simultàniament fins a 717 GB, i després d'això, no ha augmentat gens.

El rendiment és lent; el progrés és gairebé igual a cap. Tot i que no s'està executant cap altra aplicació a la màquina, excepte el SSCSTate i el seguiment de processos/recursos.

La consulta de l'usuari sorgeix aquí perquè no pot entendre la causa arrel i si sense saber-ho estaven travessant el límit de memòria. Com saber configurar l'execució que recorda que Fortify necessita intercanviar espai?

La solució òbvia semblaria ser a través d'AWB, però en lloc d'executar una exploració des d'AWB, podeu utilitzar l'analitzador de fonts per a aquest procediment. L'ús de tots dos podria provocar un problema d'emmagatzematge/memòria que és la causa principal del mal funcionament.

Els usuaris haurien d'utilitzar aquest procediment eficaç per evitar que es repeteixi el mateix error. A continuació, podeu utilitzar l'analitzador de fonts tot el temps per a aquests propòsits d'escaneig. Hi ha pedaços disponibles com el pedaç SCA 19.2.1. Té totes les actualitzacions i canvis recents en les àrees de millora.

7. Passos per utilitzar Fortify per escanejar el codi Gradle C++

Mentre s'executa una exploració completa senzilla en un projecte Gradle C++ de mostra, passa que els usuaris troben un error.

|_+_|

Normalment es construeix amb precisió sense cap dificultat, amb l'ordre que es dóna a continuació:

|_+_|

En general, el motiu d'aquest error podria ser que el fitxer build.gradle es va crear per trobar els fitxers CPP. Més tard es nota que fins i tot quan l'executem utilitzant el build.gradle original, no crea cap fitxer de sortida.

Després d'això, haureu d'actualitzar el build.gradle, i això també us ajudarà a cercar fitxers .c i, a continuació, es farà la compilació. Més tard, afegint les ordres de l'analitzador de fonts i després la traducció funciona perfectament. Podeu comprovar el rendiment mitjançant els paràmetres -show-files, que visualitza tots els detalls, com ara el fitxer free.c.

El build.gradle sol oferir un projecte de mostra que està pensat per construir les aplicacions C++, aquest projecte de mostra específic només conté un fitxer .c. Aquest és el propòsit principal per què Construcció Gradle es va executar, després que no es pogués trobar res per construir, va tenir èxit.

Per a la traducció, quan es va utilitzar l'analitzador de fonts, va ser quan va aparèixer l'error. La causa, per dir-ho simplement, va ser que SCA no va poder traduir els fitxers perquè no hi havia fitxers Gradle. Quan el new-build.gradle.zip es carrega a la caixa, ve amb una compilació.

El fitxer Gradle ajuda a compilar el fitxer .c que anteriorment formava part del projecte de mostra. Fins i tot mentre utilitzeu Source Analyzer, traduirà el fitxer .c amb precisió sense cap dificultat.

8. Resolució del problema d'error de l'extensió de pipelines de construcció d'Azure de Fortify Static Code Analyzer

L'usuari havia provat sovint d'instal·lar Fortify SCA, ja sigui el pegat 20.1.0 o el 20.1.4 de nou. Això ajuda a verificar les variables PATH per comprovar si el MSBuild, devenv i l'analitzador de fonts s'han afegit a la variable del sistema. No obstant això, l'error va romandre pel que fa a la verificació de l'extensió de Fortify de l'analitzador d'origen. Podeu resoldre aquest problema amb l'ajuda dels passos que s'indiquen a continuació:

1. Heu de provar de desinstal·lar l'extensió de Fortify anterior de la interfície d'usuari d'Azure DevOps.

2. Aleshores, heu d'eliminar les carpetes temporals, com les que es mostren a continuació:

|_+_|

3. Aleshores, heu d'esborrar totes les memòria cau del navegador, com ara el navegador que es va utilitzar per a l'accés a la interfície d'usuari d'AzureDevOps.

4. Després d'això, heu d'instal·lar l'extensió Fortify per a AzureDevOps (abans TFS)

5. A continuació, reinicieu el servei d'agent amb cura.

6. Ara heu d'executar una tasca d'escaneig completa a AzureDevOps.

Un cop s'hagin seguit amb cura aquests passos, el problema s'hauria de resoldre i l'usuari hauria de poder detectar la versió de l'analitzador de fonts de Fortify Extension a Azure DevOps.

9. Instruccions per resoldre l'error DISA STIG 4.10 Informe que ja no és visible

Sovint passa que després de la instal·lació de l'últim pedaç de Windows, apareix un error a la pantalla que diu: L'informe DISA STIG 4.10 ja no és visible. Això vol dir que després d'instal·lar el pedaç, l'usuari del pedaç faria servir la versió 19.2.2.0006 i no pot veure el DISA STIG 4.10 com a opció mentre crea un informe BIRT.

Podeu resoldre aquest problema simplement copiant la línia de ReportTemplates.xml per a SCA versió 19.2.1 i després enganxeu-la a ReportTemplates.xml per a SCA versió 19.2.2.0006. Un cop fet això, podreu trobar tots els fitxers que es troben a la ruta d'instal·lació de SCA. És el mateix camí que havíeu utilitzat anteriorment durant l'actualització de l'SCA.

10. Instruccions per habilitar els informes a l'ordre BIRTReportGenerator a MacOS

Sovint passa que els usuaris no poden produir un informe mitjançant l'ordre BIRTReportGenerator a MacOS.

1. Heu de copiar el fitxer següent:

Fortify_SCA_and_Apps_20.1.0/Auditworkbench.app al directori

Fortify_SCA_and_Apps_20.1.0/Core/private-bin/awb/eclipse/

2. Després a l'arxiu /opt/Fortify/Fortify_SCA_and_Apps_20.1.0/bin/BIRTReportGenerator

  • Cal comentar el següent:
|_+_|
  • Aleshores, a la línia següent, heu de canviar $PARAMS a $@
|_+_|
  • Aleshores heu de desar el BIRTReportGenerator dossier.
  • Aleshores, heu d'executar l'informe; es dóna un exemple a continuació:

BIRTReportGenerator -template Llibre de treball del desenvolupador -source eightball.fpr -format PDF -output eightball_birtrpt.pdf