使用 Fortify 扫描 Java 个使用 Lombok 注释的源

Using Fortify to scan Java sources which uses Lombok annotations

我们正在使用 HP Fortify 扫描我们的 java 代码,它在无法解析由 @Getter 等 lombok 注释生成的方法时出错。任何 Fortify 专家都知道如何让 Fortify 兑现这些?

由于 SCA 处理源文件,它无法看到 lombok 添加到您的 class 文件的所有额外内容。

您可以尝试使用 Delombok 获取一组源文件,其中包括 lombok 添加到 class 的所有内容,然后使用 SCA 翻译这些文件。

或者,您可以直接翻译 lombok 生成的 class 文件; SCA 支持翻译 Java 字节码。

P.S。您应该联系 Fortify 支持并让他们知道您需要对 Lombok 的支持;增强请求由客户需求跟踪。