Analyseur de code statique Micro Focus Fortify – Trucs et astuces

4 novembre 2021

Micro-focus Fortifier l'analyseur de code statique est une analyse de code statique automatisée qui aide les développeurs à éliminer les vulnérabilités et à créer des logiciels sécurisés.

Cet article contiendra les conseils et astuces mensuels de Fortify Static Code Analyzer, qui regrouperont divers problèmes courants dans Fortify Static Code Analyzer. Consultez cet article pour obtenir des conseils et astuces de dépannage pour d'autres outils.

Table des matières



  • Trucs et astuces de Fortify Static Code Analyzer – janvier 2021
  • Fortify Static Code Analyzer Trucs et astuces – février 2021
    • 1. Résoudre l'erreur lorsque la traduction échoue lorsque l'application Android utilise le plugin Android
    • 2. Informations importantes concernant l'automatisation Jenkins CI/CD
    • 3. La correction de la licence n'autorise pas l'accès à Fortuity SCA for Python err
    • 4. Instructions pour automatiser les réponses lors du lancement du script scapostinstall
    • 5. Instructions pour analyser Swift ou toute autre langue IOs sur Audit Workbench
    • 6. Ajout de la tâche Fortify pour les définitions de build à TFS 2018 sur SCA 18.20
    • 7. Correction de l'erreur lors de la numérisation d'une application .Net
    • 8. Instructions pour résoudre le problème lorsque SCA ignore le code de type script (.ts)
    • 9. Résolution de l'erreur d'horodatage du message hors plage lors de la tentative de connexion à SSC à partir d'Audit WorkBench
    • 10. Instructions pour résoudre le cas où les utilisateurs ont perdu leur onglet Code source dans Fortify Audit WorkBench
  • Trucs et astuces de Fortify Static Code Analyzer – mars 2021
    • 1. Comment télécharger manuellement les packs de règles Fortify
    • 2. Obtention d'une erreur lors de l'ouverture des fichiers FPR sur Audit Workbench
    • 3. Erreur lors de l'ouverture de l'atelier d'audit
    • 4. CloudScan ne détecte pas les proxys corrects
    • 5. Intégration de l'analyse Fortify SCA avec SonarQube
    • 6. Problème lors de l'exécution de Fortify SCA sur Android Project Build avec Gradle
    • 7. Application Spring Boot - Échec de l'analyse SCA
    • 8. Analyse de l'entraînement d'audit
    • 9. Prise en charge de la langue Go
    • 10. Après avoir installé le dernier correctif Windows, le rapport DISA STIG 4.10 n'est plus visible
  • Trucs et astuces pour l'analyseur de code statique Fortify – avril 2021
    • Onglet Perdu mon code source dans Fortify AWB
    • Le compilateur IBM XL est-il pris en charge ?
    • SCA semble ignorer le code tapuscrit (.ts)
    • Matrice de prise en charge pour SCA et WIE 18.20
    • Prise en charge de la langue Go
    • Comment ajouter la tâche Fortify pour les définitions de build à TFS 2018 sur SCA 18.20 ?
    • La traduction échoue lorsque l'application Android utilise le plug-in Android
    • Erreur lors de l'analyse d'une application .Net
    • Comment scanner Swift ou d'autres langages d'E/S sur Audit Workbench ?
    • Comment automatiser les réponses lorsque je lance le script scapostinstall ?
    • L'horodatage du message est hors plage lors de la tentative de connexion à SSC à partir d'AWB
    • Essayer d'analyser un fichier .jar
  • Fortify Static Code Analyzer Trucs et astuces – Mai 2021
    • 1. Nous sommes tenus d'utiliser une version différente de Java JRE installée dans un chemin d'installation différent et de ne pas utiliser Java JRE inclus dans Fortify
    • 2. Problèmes d'ajout des étapes de construction Fortify à une image Docker en cours de construction avec Maven
    • 3. AWB 19.2 ne parvient pas à se lancer sur MacOS Mojave
    • 4. Concernant les problèmes de plugin Eclipse de Security Assistant
    • 5. Où télécharger le plugin Visual Studio 2019 ?
    • 6. Analyse des sources des bibliothèques externes dans le cadre de l'application principale
    • 7. Prise en charge de Perl
      • Solution
    • 8. SCA ne trouve pas les annotations Spring-Bean-Validation ou les expressions Java lambda
    • 9. AWB n'affiche pas le code ou la fenêtre Résumé du projet
    • 10. Besoin du programme d'installation de Fortify SCA 18.10 pour Windows 32 bits
  • Trucs et astuces de Fortify Static Code Analyzer – juin 2021
    • 1. Impossible de numériser avec SCA v20.1 via MS Visual Studio Professional 2015.
    • 2. Problèmes de connexion entre SCA et SSC.
    • 3. Prise en charge de HP Fortify 20.1 pour App Dev STIG 4.11.
    • 4. Vous recherchez des conseils de mise à niveau.
    • 5. si les comptes gMSA peuvent être utilisés et si oui, comment.
    • 6. J'ai désinstallé Fortify SCA de mon ordinateur portable et j'ai essayé de le désinstaller sur un autre ordinateur portable, mais j'ai rencontré une erreur d'installation. Je demande donc de l'aide pour réinstaller l'outil sur un autre ordinateur portable.
    • 7. Comment créer un fichier HAR ?

Trucs et astuces de Fortify Static Code Analyzer – janvier 2021

Fortifier l'analyseur de code statique

1. Instruction pour résoudre l'erreur de traduction sur l'analyse .NET

Il arrive souvent qu'après la mise à niveau vers la version 20.1 lors de l'analyse .NET, les utilisateurs obtiennent une erreur de traduction. Il se peut qu'ils aient mis à niveau leur Fortify de 19.2 vers le récent 20.1 et lorsqu'ils exécutent une analyse C#, ils obtiennent une [error] :

|__+_|

Ou quelque chose de similaire à l'une de ses dépendances. Il arrive que la définition du manifeste d'assembly intégré ne soit pas compatible avec la référence d'assembly. Il y a une exception de RÉSULTAT : 0x80131040

Les mises à niveau sont destinées à résoudre tous les petits problèmes techniques de l'ordinateur, Système opérateur , ou n'importe quelle application. Si la mise à niveau de Fortify de 19.2 à 20.1 entraîne cette erreur, vous devez mettre à niveau autre chose. Vous pouvez corriger cette erreur lors de la mise à niveau de votre .Net vers la dernière version, qui est 4.72.

2. Astuces pour scanner facilement un projet PHP construit avec un ANT

Les utilisateurs se retrouvent souvent dans un problème lors de l'analyse d'un projet PHP. Cela se produit généralement parce que les utilisateurs ne connaissent pas les différents paramètres -bt à utiliser pour ScanCentral sur la ligne de commande (-bt). Donc, ils utilisent généralement ANT, avec build.xml comme fichier de construction spécifique, puis cela montre qu'il n'est pas reconnu. Vous pouvez vous aider de quelques conseils ou outils professionnels qui vous aideront à traduire les fichiers source Java pour des projets spécifiques qui utilisent un fichier de construction ANT.

Les utilisateurs doivent appliquer l'intégration sur la ligne de commande sans changer ou modifier le ANT build.xml déposer. Ensuite, lorsque la construction est activée, l'analyseur de code statique Fortify intercepte toutes les invocations de tâches liées à Java et traduit ultérieurement l'entrée des fichiers source Java au moment de la compilation.

Il est très nécessaire pour vous de traduire l'un des JSP fichiers, fichiers de configuration ou même les fichiers sources non Java qui font déjà partie de l'application à une étape différente. Lors de l'utilisation de l'intégration ANT, l'utilisateur doit soigneusement vérifier que l'exécutable de l'analyseur source se trouve sur le système PATH. Et pour ajouter votre ligne de commande ANT à l'analyseur source, vous pouvez utiliser la commande ci-dessous :

|__+_|

3. Résoudre l'erreur que les utilisateurs obtiennent lors du lancement de Fortify Remediation

Il arrive souvent que les utilisateurs, lorsqu'ils exécutent la correction Fortify, rencontrent une erreur indiquant :

|__+_|

Il s'agit d'un problème de chargement et les causes possibles peuvent être résolues à partir de l'inspection de la base de données et des journaux. Une fois que nous aurons fini de vérifier la base de données et les journaux, ils trouveront la cause de l'erreur qu'une sorte de corruption a provoquée dans la base de données ou certains fichiers manquants. Ce problème peut être résolu en éditant certaines choses et en modifiant certaines tables.

Il vous suffit de répéter attentivement ce qui est indiqué ci-dessous dans le tableau :

|__+_|

4. Instructions pour corriger toutes les erreurs de traduction survenues lors de l'exécution du traducteur .NET

Les utilisateurs se plaignent fréquemment des erreurs de traduction de certains des projets de la solution, souvent parce que le chemin vers l'emplacement du fichier de traduction est trop long. Cette erreur spécifique se produit lors de l'exécution du . RAPPORTER traducteur, ce qui se passe réellement, c'est qu'il produit une exception imprévisible lors de l'écriture du fichier NST :

|__+_|

Comme il est bien évident que le chemin spécifié, le nom du fichier, l'un ou l'autre est trop long. Il est de la plus haute importance que le nom de fichier qualifié comporte moins de 260 caractères. Les utilisateurs doivent alors noter qu'il est différent pour le nom du répertoire ; il doit comporter moins de 248 caractères.

Dans l'API Windows, à quelques exceptions près, il y a aussi une limite. Pour l'API Windows, la longueur maximale d'un chemin doit être d'environ 260 caractères (chiffres et lettres), c'est-à-dire MAX_PATH. Habituellement, un chemin local est créé/créé dans l'ordre indiqué ci-dessous :

  1. Lettre de lecteur
  2. Côlon
  3. Barre oblique inverse
  4. Les barres obliques inverses séparent les différents composants du nom.
  5. Un caractère nul de fin.

5. Instructions pour utiliser avec précision les résultats agrégés du plug-in Fortify SCA

Il est nécessaire de comprendre les formalités et les détails techniques pour mettre fin à toutes les informations de numérisation pour les projets ou sous-projets qui entrent dans le même FPR.

Ce site spécifique utilise le plugin fortify dans l'ordre pour certains projets indiqués ci-dessous :

|__+_|

Le référentiel du projet contient plusieurs modules, par exemple :

|__+_|

Ce projet spécifique est structuré de manière à se situer à la racine. Comme il ne s'agit que de sous-modules, ils sont conçus de cette manière afin que, lorsque cela est nécessaire, ils puissent déclencher une tâche en aval consistant à lancer une analyse complète au niveau de la base. Les utilisateurs peuvent voir que les journaux correspondent à l'indicateur d'agrégation défini sur true. Lorsqu'il est vérifié dans la documentation du plug-in et que nous essayons par nous-mêmes de supprimer la valeur, il s'avère que c'est un échec. Même après avoir essayé différentes choses, toutes les informations de numérisation des sous-projets retournent directement dans le même FPR.

Vous pouvez essayer de visiter l'emplacement suivant situé dans le répertoire :

|__+_|

Vous devez vous rendre au docs\index.html ; ensuite, vous devez ouvrir le fichier dans un éditeur de navigateur particulier. Après cela, vous devez sélectionner Usage , puis cliquez sur Invocation directe, et ensuite vous pourrez trouver la propriété:

|__+_|

La même propriété peut facilement être modifiée de vrai à faux, ce qui arrêtera sûrement ce comportement.

|__+_|

6. Résoudre le manque de stockage dû au manque d'utilisation de l'espace d'échange

Lors de l'utilisation de la atelier d'audit à des fins d'analyse concernant les 660 KLoc de code Java, cette erreur se produit. Ledit processus s'exécute sans arrêt pendant environ un Fortnite sur l'appareil. Cette expérience est celle d'un utilisateur avec un appareil doté d'un processeur de 80 et 750 Go de RAM.

Le Fortify de cet appareil utilise environ la totalité des 80 CPU et 95% de la RAM, 717 Go. Il a été remarqué plus tard qu'après 2-3 jours, l'utilisation de la RAM a augmenté simultanément à 717 Go, c'est-à-dire, et après cela, elle n'a pas augmenté du tout.

La performance est lente; le progrès est presque égal à zéro. Même si aucune autre application n'est en cours d'exécution sur la machine, à l'exception de SSCSTate et du suivi des processus/ressources.

La requête de l'utilisateur se pose ici car il ne peut pas comprendre la cause première et s'il franchissait sans le savoir la limite de mémoire. Comment savoir configurer la course qui rappelle que Fortify a besoin d'échanger de l'espace ?

La solution évidente semblerait être via AWB, mais au lieu d'exécuter une analyse à partir d'AWB, vous pouvez utiliser l'analyseur source pour cette procédure. L'utilisation des deux peut entraîner un problème de stockage/mémoire qui est la cause principale du dysfonctionnement.

Les utilisateurs doivent utiliser cette procédure efficace pour éviter la répétition de la même erreur. Vous pouvez alors utiliser l'analyseur de source tout le temps à ces fins d'analyse. Il existe des correctifs disponibles comme le correctif SCA 19.2.1. Il contient toutes les mises à jour et modifications récentes concernant les domaines d'amélioration.

7. Étapes d'utilisation de Fortify pour analyser le code Gradle C++

Lors de l'exécution d'une simple analyse complète sur un exemple de projet Gradle C++, il arrive que les utilisateurs rencontrent une erreur.

|__+_|

Il se construit généralement avec précision sans aucune difficulté, avec la commande ci-dessous :

|__+_|

Habituellement, la raison de cette erreur peut être que le fichier build.gradle a été créé pour trouver les fichiers CPP. Plus tard, on remarque que même lorsque nous l'exécutons en utilisant le build.gradle d'origine, il ne crée aucun fichier de sortie.

Après cela, vous devez mettre à jour le build.gradle, et cela vous aidera également à rechercher les fichiers .c, puis la compilation sera effectuée. Plus tard, en ajoutant les commandes de l'analyseur source, la traduction s'exécute parfaitement. Vous pouvez vérifier les performances à l'aide des paramètres -show-files, qui visualisent tous les détails tels que le fichier free.c.

Le build.gradle se voit généralement proposer un exemple de projet destiné à créer les applications C++, cet exemple de projet spécifique contient simplement un fichier .c. C'est le but principal pour lequel le Version progressive a été exécuté, après que rien n'a pu être trouvé pour construire, il a réussi.

Pour la traduction, lorsque l'analyseur source a été utilisé, c'est là que l'erreur est apparue. La cause, pour le dire simplement, était que SCA n'était pas en mesure de traduire les fichiers car il n'y avait pas de fichiers Gradle. Lorsque le new-build.gradle.zip est téléchargé sur le boîtier, il est livré avec une version.

Le fichier Gradle aide à compiler le fichier .c qui faisait auparavant partie de l'exemple de projet. Même en utilisant Source Analyzer, il traduira le fichier .c avec précision sans aucune difficulté.

8. Résolution du problème d'échec de l'extension Azure Build Pipelines de Fortify Static Code Analyzer

L'utilisateur avait souvent essayé d'installer Fortify SCA, soit le correctif 20.1.0, soit le correctif 20.1.4. Cela aide à vérifier les variables PATH pour vérifier si MSBuild, devenv et l'analyseur source ont été ajoutés à la variable système. Pourtant, l'erreur persistait concernant la vérification de l'extension Fortify de l'analyseur source. Vous pouvez résoudre ce problème à l'aide des étapes ci-dessous :

1. Vous devez essayer de désinstaller l'ancienne extension Fortify à partir de l'interface utilisateur Azure DevOps.

2. Ensuite, vous devez supprimer les dossiers temporaires, comme ceux indiqués ci-dessous :

|__+_|

3. Ensuite, vous devez effacer tous les caches du navigateur, comme le navigateur qui a été utilisé pour l'accession à l'interface utilisateur AzureDevOps.

4. Après cela, vous devez installer l'extension Fortify pour AzureDevOps (anciennement TFS)

5. Redémarrez ensuite le service de l'agent avec précaution.

6. Vous devez maintenant exécuter une tâche d'analyse complète dans AzureDevOps.

Une fois ces étapes suivies attentivement, le problème devrait être résolu et l'utilisateur devrait être en mesure de détecter la version de Source Analyzer à partir de Fortify Extension dans Azure DevOps.

9. Instructions pour résoudre l'erreur DISA STIG 4.10 Report No Longer Visible

Il arrive souvent qu'après l'installation du dernier correctif Windows, une erreur s'affiche à l'écran, indiquant : DISA STIG 4.10 Report No Longer Visible. Cela signifie qu'après l'installation du correctif, l'utilisateur du correctif utilisera la version 19.2.2.0006 et ne pourra pas voir DISA STIG 4.10 comme une option lors de la création d'un rapport BIRT.

Vous pouvez résoudre ce problème en copiant simplement la ligne de ReportTemplates.xml pour SCA version 19.2.1, puis en la collant dans ReportTemplates.xml pour SCA version 19.2.2.0006. Une fois cette opération effectuée, vous pourrez trouver tous les fichiers qui se trouvent sous le chemin d'installation de SCA. Il s'agit du même chemin que vous avez utilisé précédemment lors de la mise à jour de SCA.

10. Instructions pour activer les rapports dans la commande BIRRTeportGenerator sur MacOS

Il arrive souvent que les utilisateurs ne puissent pas produire de rapport via la commande BIRRTeportGenerator sous MacOS.

1. Vous devez copier le fichier ci-dessous :

Fortify_SCA_and_Apps_20.1.0/Auditworkbench.app vers le répertoire

Fortify_SCA_and_Apps_20.1.0/Core/private-bin/awb/eclipse/

2. Puis dans le fichier /opt/Fortify/Fortify_SCA_and_Apps_20.1.0/bin/BIRTReportGenerator

  • Vous devez commenter ce qui suit :
|__+_|
  • Ensuite, dans la ligne suivante, vous devez remplacer $PARAMS par $@
|__+_|
  • Ensuite, vous devez enregistrer le BIRTReportGenerator déposer.
  • Ensuite, vous devez exécuter le rapport ; Un exemple est donné ci-dessous:

BIRRTeportGenerator -template Developer Workbook -source eightball.fpr -format PDF -output eightball_birtrpt.pdf