HP Fortify - 死代码存储在 Asp.net 个临时文件中

HP Fortify - Dead Code stored in Asp.net Temp Files

在扫描 Asp.net MVC 3 项目时,是否有针对 Fortify 识别的死代码的可能修复?标识为“dead”的代码位于生成的文件中,存储在 Asp.net 临时文件文件夹中。我们的扫描结果中显示了其中的 173 个结果。我们使用的是 HP Fortify 扫描仪的 6.10 版,其中最新的规则包。

我看到一篇文章实际上减轻了 MVC 中的 Fortify 死代码。显然,开箱即用的 Fortify 扫描 MVC 网站,就好像它是一个标准的 ASP.net 应用程序一样。

修改强化属性文件

打开 {Fortify_install_dir}\Core\config\fortify.properties 并取消注释以下内容:

com.fortify.VS.SkipASPPrecompilation=真 并且,将以下 属性 设置为 false(默认值为 true)。

com.fortify.VS.RequireASPPrecompilation=假 构建您的项目

在 Visual studio

中正常构建项目

复制构建工件

将构建工件从项目根目录的 /bin 目录复制到以下位置 -

C:\Windows\Microsoft.NET\Framework{frameworkverion}\Temporary ASP.NET Files{yourprojectname} 因此,对于针对 .NET 4 或 4.5 构建的名为“YourProject.Web”的项目,路径将如下所示 -

C:\Windows\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files\YourProject.Web 运行扫描

在此处查看 Charles King 的完整文章:

http://charlesbking.com/programming/2015/01/23/run-fortify-on-asp-mvc.html