我们正在运行fortify以检查安全漏洞和声纳以进行代码清理。
我想知道我们是否可以在fortify中启用静态代码分析并摆脱声纳/ pmd / findbugs等。
我有一个java项目,将使用fortify sca检查安全漏洞。我还使用声纳来代码质量和清理。
有人说我可以在强化中配置声纳类规则,以便我可以避免声纳并节省构建时间。
基本上我想在fortify中配置声纳规则集。因此,fortify会检查安全漏洞,代码质量和清理。
提前谢谢。
答案 0 :(得分:3)
默认的Fortify规则集包含许多“类似声纳”的样式检查。例如,Null Dereference或Poor Exception Handling。它没有所有的声纳检查,但你可以自己使用自定义规则制作它们。
请参阅此帖子以获取示例:
How to write Fortify custom rules language specific?
这是基于Spring MVC的一个:
http://blog.gdssecurity.com/labs/2013/12/2/building-fortify-custom-rules-for-spring-mvc.html
Fortify还包括findbugs,也有助于findbugs OSS代码。