我可以使用Fortify扫描scala代码或生成的java(jar)文件吗?我知道我可以在技术上做jar选项,但是对于生成的java代码有任何已知的挑战吗?
答案 0 :(得分:2)
Fortify SCA现在正式支持Scala(自2017年12月起)。
添加此支持是Lightbend与Micro Focus之间的合作项目。
我完成了Lightbend方面的大部分工程工作,编写了一个编译器插件,将Scala代码转换为Fortify理解的中间形式。 Micro Focus添加了Scala特定的安全规则,并对Fortify后端进行了必要的调整。 (他们还确保在适当的时候,现有的Java规则也适用于等效的Scala代码。)
请参阅:
请注意,Fortify SCA是商业软件,新的Scala插件也是如此。要使用它们,您必须
答案 1 :(得分:1)
我看到James Roper(Play)对这个问题的回应。 https://groups.google.com/forum/#!topic/play-framework/MtatDozyDjg
基本上他说静态代码分析工具可能发现的任何问题都是API中的错误,应该修复。由于向后兼容性,JAVA无法做到这一点。
答案 2 :(得分:1)
我使用Fortify SCA引擎3.8,4.21测试了scala代码。 Fortify没有发现任何问题。如果我没记错的话,我在翻译阶段看到了很多警告,所以我假设Fortify没有scala代码的原生解析器。