强化扫描第 3 方 dll
Fortify to scan 3rd party dll's
有没有办法让 Fortify 扫描第 3 方 dll?
我正在命令行上翻译已在调试模式下预构建的 .NET 项目。
我使用的命令是:
sourceanalyzer -b mybuild -vsversion 14.0 -libdirs [project-root]/**/*.dll
我在旧版本的用户指南中注意到,它指定第 3 方 dll 不需要 pdb,但在较新版本中,它指出第 3 方 dll 需要第 3 方 pdb
如果不扫描第 3 方 dll,数据流和控制流分析会有多大用处?
您仍想指定第 3 方 dll,那些在 -libdirs
选项中指定。
您指定的命令似乎缺少您指定要实际扫描的文件的部分。
当我扫描 .dll 时,这里是我的翻译命令:
sourceanalyzer -b test -Xmx8G -vsversion 14.0
@excludelist.txt
-Dcom.fortify.sca.SourceFiles=WebGoat.NET\WebGoat
-libdirs WebGoat.NET\WebGoat\bin WebGoat.NET\**/*.dll
WebGoat.NET/**/*
发生了几件事
@excludelist.txt
包含一个命令列表,用于将第 3 方 dll 排除在审计之外(但它们仍会与程序的其余部分一起扫描 data/control 流)。这是该文件的内容:
-exclude WebGoat.NET\WebGoat\bin\EnvDTE.dll
-exclude WebGoat.NET\WebGoat\bin\EnvDTE80.dll
-exclude WebGoat.NET\WebGoat\bin\log4net.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.OLE.Interop.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.Shell.Interop.8.0.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.Shell.Interop.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.TextManager.Interop.8.0.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.TextManager.Interop.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.VSHelp.dll
-exclude WebGoat.NET\WebGoat\bin\mysql.data.dll
-exclude WebGoat.NET\WebGoat\bin\mysql.data.entity.dll
-exclude WebGoat.NET\WebGoat\bin\mysql.visualstudio.dll
-exclude WebGoat.NET\WebGoat\bin\mysql.web.dll
-exclude WebGoat.NET\WebGoat\bin\stdole.dll
-exclude WebGoat.NET\WebGoat\bin\System.Data.SQLite.dll
-exclude WebGoat.NET\WebGoat\lib\log4net.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.data.cf.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.data.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.data.entity.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.visualstudio.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.web.dll
-exclude WebGoat.NET\WebGoat\lib\System.Data.SQLite.dll
这是 bin 文件夹的内容:
DotNetGoat.dll
DotNetGoat.dll.config
DotNetGoat.pdb
EnvDTE.dll
EnvDTE.xml
EnvDTE80.dll
EnvDTE80.xml
log4net.dll
log4net.xml
Microsoft.VisualStudio.OLE.Interop.dll
Microsoft.VisualStudio.OLE.Interop.xml
Microsoft.VisualStudio.Shell.Interop.8.0.dll
Microsoft.VisualStudio.Shell.Interop.8.0.xml
Microsoft.VisualStudio.Shell.Interop.dll
Microsoft.VisualStudio.Shell.Interop.xml
Microsoft.VisualStudio.TextManager.Interop.8.0.dll
Microsoft.VisualStudio.TextManager.Interop.8.0.xml
Microsoft.VisualStudio.TextManager.Interop.dll
Microsoft.VisualStudio.TextManager.Interop.xml
Microsoft.VisualStudio.VSHelp.dll
mysql.data.dll
mysql.data.entity.dll
mysql.visualstudio.dll
mysql.web.dll
stdole.dll
System.Data.SQLite.dll
System.Data.SQLite.xml
我排除了所有第 3 方 dll,在这种情况下除了 DotNetGoat.dll
2) -Dcom.fortify.sca.SourceFiles=WebGoat.NET\WebGoat
指定源代码所在的位置。
希望对您有所帮助。
有没有办法让 Fortify 扫描第 3 方 dll?
我正在命令行上翻译已在调试模式下预构建的 .NET 项目。
我使用的命令是:
sourceanalyzer -b mybuild -vsversion 14.0 -libdirs [project-root]/**/*.dll
我在旧版本的用户指南中注意到,它指定第 3 方 dll 不需要 pdb,但在较新版本中,它指出第 3 方 dll 需要第 3 方 pdb
如果不扫描第 3 方 dll,数据流和控制流分析会有多大用处?
您仍想指定第 3 方 dll,那些在 -libdirs
选项中指定。
您指定的命令似乎缺少您指定要实际扫描的文件的部分。
当我扫描 .dll 时,这里是我的翻译命令:
sourceanalyzer -b test -Xmx8G -vsversion 14.0
@excludelist.txt
-Dcom.fortify.sca.SourceFiles=WebGoat.NET\WebGoat
-libdirs WebGoat.NET\WebGoat\bin WebGoat.NET\**/*.dll
WebGoat.NET/**/*
发生了几件事
@excludelist.txt
包含一个命令列表,用于将第 3 方 dll 排除在审计之外(但它们仍会与程序的其余部分一起扫描 data/control 流)。这是该文件的内容:
-exclude WebGoat.NET\WebGoat\bin\EnvDTE.dll
-exclude WebGoat.NET\WebGoat\bin\EnvDTE80.dll
-exclude WebGoat.NET\WebGoat\bin\log4net.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.OLE.Interop.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.Shell.Interop.8.0.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.Shell.Interop.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.TextManager.Interop.8.0.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.TextManager.Interop.dll
-exclude WebGoat.NET\WebGoat\bin\Microsoft.VisualStudio.VSHelp.dll
-exclude WebGoat.NET\WebGoat\bin\mysql.data.dll
-exclude WebGoat.NET\WebGoat\bin\mysql.data.entity.dll
-exclude WebGoat.NET\WebGoat\bin\mysql.visualstudio.dll
-exclude WebGoat.NET\WebGoat\bin\mysql.web.dll
-exclude WebGoat.NET\WebGoat\bin\stdole.dll
-exclude WebGoat.NET\WebGoat\bin\System.Data.SQLite.dll
-exclude WebGoat.NET\WebGoat\lib\log4net.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.data.cf.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.data.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.data.entity.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.visualstudio.dll
-exclude WebGoat.NET\WebGoat\lib\mysql.web.dll
-exclude WebGoat.NET\WebGoat\lib\System.Data.SQLite.dll
这是 bin 文件夹的内容:
DotNetGoat.dll
DotNetGoat.dll.config
DotNetGoat.pdb
EnvDTE.dll
EnvDTE.xml
EnvDTE80.dll
EnvDTE80.xml
log4net.dll
log4net.xml
Microsoft.VisualStudio.OLE.Interop.dll
Microsoft.VisualStudio.OLE.Interop.xml
Microsoft.VisualStudio.Shell.Interop.8.0.dll
Microsoft.VisualStudio.Shell.Interop.8.0.xml
Microsoft.VisualStudio.Shell.Interop.dll
Microsoft.VisualStudio.Shell.Interop.xml
Microsoft.VisualStudio.TextManager.Interop.8.0.dll
Microsoft.VisualStudio.TextManager.Interop.8.0.xml
Microsoft.VisualStudio.TextManager.Interop.dll
Microsoft.VisualStudio.TextManager.Interop.xml
Microsoft.VisualStudio.VSHelp.dll
mysql.data.dll
mysql.data.entity.dll
mysql.visualstudio.dll
mysql.web.dll
stdole.dll
System.Data.SQLite.dll
System.Data.SQLite.xml
我排除了所有第 3 方 dll,在这种情况下除了 DotNetGoat.dll
2) -Dcom.fortify.sca.SourceFiles=WebGoat.NET\WebGoat
指定源代码所在的位置。
希望对您有所帮助。