强化扫描第三方dll'

时间:2016-09-28 01:20:37

标签: c# .net fortify

有没有办法让Fortify扫描第三方dll'

我正在命令行上翻译.NET项目,这些项目已在调试模式下预先构建。

我使用的命令是:

sourceanalyzer -b mybuild -vsversion 14.0 -libdirs [project-root]/**/*.dll

我在旧版本的用户指南中注明,它指定第三方dll不需要pdb,但在较新版本中,它指出第三方pdb是必需的第三方dll&#39>

如果不扫描第三方dll,数据流和控制流分析有多大用处?

1 个答案:

答案 0 :(得分:1)

您仍然想要指定第三方dll,这些是在APIs选项中指定的。

您指定的命令看起来像是缺少该部分,您指定了要实际扫描的文件。

当我扫描.dlls时,这是我的翻译命令:

-libdirs

有几件事正在进行中

sourceanalyzer -b test -Xmx8G -vsversion 14.0 @excludelist.txt -Dcom.fortify.sca.SourceFiles=WebGoat.NET\WebGoat -libdirs WebGoat.NET\WebGoat\bin WebGoat.NET\**/*.dll WebGoat.NET/**/* 包含一个命令列表,用于排除第三方dll被审核(但仍然会使用程序的其余部分扫描数据/控制流)。以下是该文件的内容:

@excludelist.txt

以下是bin文件夹的内容:

-exclude WebGoat.NET\WebGoat\bin\EnvDTE.dll
-exclude WebGoat.NET\WebGoat\bin\EnvDTE80.dll
-exclude WebGoat.NET\WebGoat\bin\log4net.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.OLE.Interop.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.Shell.Interop.8.0.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.Shell.Interop.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.TextManager.Interop.8.0.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.TextManager.Interop.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.VSHelp.dll
-exclude WebGoat.NET\WebGoat\bin\mysql.data.dll
-exclude WebGoat.NET\WebGoat\bin\mysql.data.entity.dll
-exclude WebGoat.NET\WebGoat\bin\mysql.visualstudio.dll
-exclude WebGoat.NET\WebGoat\bin\mysql.web.dll
-exclude WebGoat.NET\WebGoat\bin\stdole.dll
-exclude WebGoat.NET\WebGoat\bin\System.Data.SQLite.dll
-exclude WebGoat.NET\WebGoat\lib\log4net.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.data.cf.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.data.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.data.entity.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.visualstudio.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.web.dll
-exclude WebGoat.NET\WebGoat\lib\System.Data.SQLite.dll

我排除了所有第三方dll,在这种情况下除了DotNetGoat.dll DotNetGoat.dll.config DotNetGoat.pdb EnvDTE.dll EnvDTE.xml EnvDTE80.dll EnvDTE80.xml log4net.dll log4net.xml Microsoft.VisualStudio.OLE.Interop.dll Microsoft.VisualStudio.OLE.Interop.xml Microsoft.VisualStudio.Shell.Interop.8.0.dll Microsoft.VisualStudio.Shell.Interop.8.0.xml Microsoft.VisualStudio.Shell.Interop.dll Microsoft.VisualStudio.Shell.Interop.xml Microsoft.VisualStudio.TextManager.Interop.8.0.dll Microsoft.VisualStudio.TextManager.Interop.8.0.xml Microsoft.VisualStudio.TextManager.Interop.dll Microsoft.VisualStudio.TextManager.Interop.xml Microsoft.VisualStudio.VSHelp.dll mysql.data.dll mysql.data.entity.dll mysql.visualstudio.dll mysql.web.dll stdole.dll System.Data.SQLite.dll System.Data.SQLite.xml

之外的所有内容

2)DotNetGoat.dll指定源代码所在的位置。

我希望这会有所帮助。

相关问题
最新问题