HP Fortify不会创建“批处理”文件

Question

全部， 我正在尝试在代码存储库上执行静态扫描，并且HP Fortify SCA和应用程序4.42中的扫描向导不会为扫描创建批处理文件。

我可以添加Project Root，然后系统找到所有文件，大约18,000-ish。

然后显示第二个屏幕，其中包含文件类型及其计数。我点击下一步按钮。

然后，Dependencies页面显示Unresolved Classes列表。我点击下一步按钮。 整个窗口消失了......

通常情况下，会出现一个具有不同语言选项的窗口，我可以选择我想要使用的Java或Pl / Sql版本。那种情况没有发生。

有没有人对如何使这项工作有任何建议？

谢谢你， 拉里

Answer 1

有两种不同的尝试：

<强>权限

以管理员身份运行ScanWizard（右键单击 - ＆gt;以管理员身份运行）。这将确保没有任何权限问题。

<强>内存

这可能与内存和正在查看的文件数量有关。在程序运行时，查看进程以查看正在占用的内存量。默认情况下，ScanWizard JVM可以使用300MB。

这可能需要增加。这在ScanWizard.cmd文件中已更改。

地点：<HPE Fortify Install>/bin/ScanWizard.cmd

使用您喜欢的文本编辑器打开它，并更改此行的-Xmx300M命令选项：

"%JAVA_CMD%" -Xmx300M -jar "%~dp0\..\Core\lib\ScanWizard-16.10.jar" %*

这是标准的JVM选项，因此请将值保留为整数并使用M或G（单位无空格）

示例：

• "%JAVA_CMD%" -Xmx800M -jar "%~dp0\..\Core\lib\ScanWizard-16.10.jar" %*
• "%JAVA_CMD%" -Xmx1G -jar "%~dp0\..\Core\lib\ScanWizard-16.10.jar" %*
• "%JAVA_CMD%" -Xmx2G -jar "%~dp0\..\Core\lib\ScanWizard-16.10.jar" %*

旁注

我个人不喜欢ScanWizard，它会创建非常复杂的批处理文件。我更喜欢生成我自己的批处理文件，直接调用sourceanalyzer.exe。

Answer 2

Fortify静态代码分析器（SCA）是否创建了Fortify项目报告（FPR）文件？如果是这样，请在Audit Workbench（AWB）中将其打开，或将FPR上载到软件安全中心（SSC）以查看扫描错误。

FPR将列在＆＃34;扫描＆＃34; SSC中的选项卡。

扫描错误位于文件列表中的红点中。

另一方面，如果您正在查看AWB中的FPR文件，请打开＆＃34;分析信息＆＃34;标签

然后在下面查看＆＃34;警告＆＃34;标签。

但是我怀疑SCA没有成功产生FPR。

在任何情况下，请查看SCA日志文件以获取未解析类的报告。对于使用Fortify 4.40运行的扫描，日志文件位于C：\ Users_user_ \ AppData \ Local \ Fortify \ sca6.4 \ log。您可能不止一次包含库。或者您成功编译是因为包含来自tomcat或SCA在代码库中找不到的其他来源的库。