2018-03-02
續這篇
[研究] Fortify SCA Plugin v17.20 for Visual Studio 2017 v15.5.7 白箱測試 (原始碼) 掃描
http://shaurong.blogspot.com/2018/03/fortify-sca-plugin-v1720-for-visual.html
對於 Plug-in for Visual Studio 不支援的 .NET 4.7.1 仍是可以用 Scan Wizard 掃描的。
(下圖) 建議把 Quick Scan 勾選起來,Quick Scan 發現的問題全部修正後,再用沒 Quick Scan 模式掃,不然有可能重複非常多。
根據 v17.20 官方手冊內容:
Quick Scan searches for high-confidence, high-severity issues only.
(快速掃描僅搜索高可信度,高嚴重性問題。)
(下圖) 執行 .bat 檔案去掃描,可以看到雖然原始碼是 .NET 4.7.1 版,但它使用 .NET 4.6.2 版掃描,所以如果遇到程式碼使用了 .NET 4.7 或 .NET 4.7.1 的元件,會發生甚麼事情很難說。
(下圖) 實際做分析的是 sourceanalyzer.exe,分析過程 CPU 使用率可能很高,記憶體用量不斷成長 ( 依據原始碼大小和複雜程度而不定 )
********************************************************************************
產生報告 pdf
Fortify Plugin for Visual Studio 是在 Visual Studio 環境產生 pdf 報告,Scan Wizard 只能產生 .fpr 結果,所以 pdf 報告要在 Fortify Audit Workbench 環境中產生。
(下圖) double click開啟 pdf 檔案後
[研究] Fortify SCA v17.20 Plugins for Visual Studio 和 Scan Wizard 掃描方式 優缺點比較
http://shaurong.blogspot.com/2018/03/fortify-sca-v1720-plugins-for-visual.html
(待續)
相關
相關
[研究] Fortify SCA Plugin v17.20 for Visual Studio 2017 v15.5.7 白箱測試 (原始碼) 掃描
http://shaurong.blogspot.com/2018/03/fortify-sca-v1720-scan-wizard.html
[研究] Fortify SCA v17.20 Plugins for Visual Studio 和 Scan Wizard 掃描方式 優缺點比較
http://shaurong.blogspot.com/2018/03/fortify-sca-v1720-plugins-for-visual.html
[研究] Fortify SCA v17.20 Plugins for Visual Studio 和 Scan Wizard 掃描方式 優缺點比較
http://shaurong.blogspot.com/2018/03/fortify-sca-v1720-plugins-for-visual.html
沒有留言:
張貼留言