我需要检查使用Fortify在我的项目中使用的第三方库中的漏洞(如果有)。
对于少数第三方库,我无法访问其源文件。我只有装运的.jar文件。
是否可以在.jar文件上运行Fortify?我在大多数文档中都能找到的是Fortify可以在.java文件上运行,如下所示:
sourceanalyzer -b MyProject -cp“lib / .jar”“src / * / *。java”
答案 0 :(得分:6)
你可以做一个比LaJmOn更好的建议,并自动打开罐子。
例如:
sourceanalyzer -b apple -source 1.6 -Dcom.fortify.sca.fileextensions.jar=ARCHIVE /System/Library/Frameworks/JavaVM.framework/Home/lib/ext/apple_provider.jar
答案 1 :(得分:4)
您可以使用以下命令强制SCA扫描类文件:
sourceanalyzer -b MyProject -source "1.6" -cp "{source_path}/**/*.jar" -scan -f MyProject.fpr -Dcom.fortify.sca.fileextensions.class=BYTECODE -Dcom.fortify.sca.DefaultFileTypes=class "{source_path}/**/*.class"
如果我没记错的话,您需要将包含要扫描的类文件的JAR文件分解为{source_path}。
与Java源扫描相比,结果将不那么引人注目,但您应该得到一些结果。