静的コード解析で.csファイルのHP Fortifyを使用

Question

こんにちは私はFortifyスキャニングウィザードを使用して、ビルドされていないC＃リポジトリをスキャンしようとしていますが、ビルドできません。それはFortifyがcsファイルを拾っていないように思えます/それらを見つけることさえできません。

の場合は、C＃プロジェクトでのみFortifyを使用できます。1.コンパイルして.pdbファイルを作成できます。または 2.ビジュアルスタジオでfortifyプラグインを使用して構築する必要があります。

C＃プロジェクトで単純なプリコンパイル済み静的コード解析を行いたいだけです。私はFortifyがそれをすることができないとは思わなかった。誰かがそれを確認できるなら、それは素晴らしいことだろう。 SCAのドキュメントから

Answer 1

：

SCAは、共通中間言語（CIL）上で動作するため、C＃やVB .NETなど、CILにコンパイルする.NET言語のすべてをサポートしています。

SCA sourceanalyzerはDLL（および対応するPDBファイル）を探しているため、スキャン用のソースファイルを取得しません。

Answer 2

最新バージョンのHPE Fortify SCA 16.20（2016年12月リリース）では、SCAはファイルを直接取得します。コンパイルする（VSまたはMSBUILD）か、コンパイル済みの.dllおよび.pdbファイルを既に持っている必要はありません。

古い方法を使用することはできますが、ファイルを直接スキャンすることもできます。