在扫描Asp.net MVC 3项目时,Fortify是否可以修复死信代码?标识为“死”的代码位于生成的文件中,存储在Asp.net临时文件文件夹中。我们的扫描结果中显示了173个这样的结果。我们使用的是HP Fortify扫描仪的6.10版本,最新版本rulepacks。
答案 0 :(得分:0)
我遇到了一篇文章,它实际上减轻了MVC中的Fortify死代码。好的,Fortify开箱即用,扫描MVC网站,好像它是一个标准的ASP.net应用程序。
修改fortify属性文件
打开{Fortify_install_dir} \ Core \ config \ fortify.properties并取消注释以下内容:
com.fortify.VS.SkipASPPrecompilation =真 并且,将以下属性设置为false(默认值为true)。
com.fortify.VS.RequireASPPrecompilation =假 建立你的项目
在Visual Studio中正常构建项目
复制构建工件
将构建工件从项目根目录的/ bin目录复制到以下位置 -
C:\ Windows \ Microsoft.NET \ Framework {frameworkverion} \ Temporary ASP.NET Files {yourprojectname} 因此,对于基于.NET 4或4.5构建的名为“YourProject.Web”的项目,路径将如下所示 -
C:\ Windows \ Microsoft.NET \ Framework \ v4.0.30319 \ Temporary ASP.NET Files \ YourProject.Web 运行扫描
查看Charles King的全文:
http://charlesbking.com/programming/2015/01/23/run-fortify-on-asp-mvc.html