我正在尝试使用Fortify sca扫描纯.java文件,并经常收到一条错误消息,说我没有包含完整的jar列表。
“无法解析以下对java类的引用。请确保将包含这些类的所有必需jar文件提供给SCA。”
我的问题是它会影响扫描结果吗?这个警告要认真对待吗? (因为我的扫描正在进行中;)
干杯。
答案 0 :(得分:1)
从第一原则而不是产品或应用知识中考虑这一点:
据推测,Fortify会扫描它可以看到的代码,因此它会返回一些有用的结果。但是因为它无法看到所有代码所以无法完成一项完整的工作。
我不知道Fortify有多聪明,它对抽象工厂这样的事情有什么作用?这样的设计模式可以有效地确定实际使用哪些类的运行时间,因此您可以根据可用的罐子获得完全不同的应用程序行为。
结论:鉴于您的应用可以在某个地方运行,为什么不能将所有JAR文件放在一起,让Fortify有机会完成更完整的工作?
答案 1 :(得分:1)
您可以获得部分扫描和结果,但某些问题可能完全错过和/或风险较低。如果您的代码调用JAR文件中的函数,则SCA无法跟踪数据流进出函数。因此,这些数据路径会进入黑洞,并且不会返回任何结果。
最好不要编译任何警告和代码进行扫描。