1. ホーム
  2. 質問と答え
  3. FortifyソースアナライザとApache Lenya

FortifyソースアナライザとApache Lenya

2009-07-21 6 views
4

オープンソースのJava Webアプリケーションのセキュリティをテストするために、私の学校の研究プロジェクトにFortifyソースコードアナライザを使用しようとしています。私は現在Apache Lenyaに取り組んでいます。私は最後の安定版(Lenya v2.0.2)で作業しています。FortifyソースアナライザとApache Lenya

ルートディレクトリの内部には、build.shという名前のファイルがあります。このファイルは、リリースに同梱されているAntのバージョン(tools/binフォルダ内)を使用してLenyaをビルドするために呼び出されます。 ./build.shを実行すると、私はLenyaをうまく構築することができます。だから、Fortifyでは、以下のコマンドを実行するとうまくいくことが想定されます:

sourceanalyzer -b lenya -Xmx1200M touchless ./build.sh

をしかし、私は試してみて、実行すると:

sourceanayzer -b lenya -Xmx1200M -scan -f lenya.fpr

を私が取得:

ビルドID Lenya見つかりません。

は私が buid.shファイルを見て、それだけで、現在の蟻の家、クラスパス、およびアリオプション変数をリセットするAntビルドコマンドを実行し、デフォルトに戻って値をリセットしたことに気づきました。だから私は(スクリプトなし)手動ですべての変数をリセットする代わりに、スクリプトを実行しているのと走っ: 

sourceanalyzer -b lenya -Xmx1200M -scan -f lenya.fpr

を、私は同じエラーを得た:

sourceanalyzer -b lenya -Xmx1200M touchless tools/bin/ant -logger org.apache.tools.ant.NoBannerLogger

それから私は走りました。私は何かが間違っている、またはFortifyが正しく行っていないことが原因であるかどうかはわかりません。どんな洞察も素晴らしいでしょう。

出典

2009-07-21 Anonymous

答えて

2

あなたがFortifyのドキュメントにアクセスできるかどうかはわかりませんが、それは間違いなく役立ちます。 sourceanalyzer実行可能ファイルの使用方法については、「SCAユーザーズ・ガイド」を参照してください。

短いものをカットするには、FPRファイル取得の2つの方法があります。

  1. (長い道のりが)ソースコードのパスを提供することにより、ソースコードを変換し、分析するためのスクリプトを作成し、 sourceanalyzer実行可能ファイルへのクラスパス。
  2. (簡単な方法)コンパイラとしてjavacの代わりにSCACompilerを使用します。このためには、ビルドスクリプトを変更する必要があります。

大きなコードベースを扱う際のカスタマイズ性のため、私は前者を優先します。

PS:これはどのバージョンのFortifyですか?

出典

2009-07-21 21:00:09

1

C/C++統合のためのtouchlessコマンドを使用しないでください。 LenyaはJavaで書かれているので、他のコマンドを使う方が良いでしょう。 (お使いのベースlenyaのディレクトリから実行)あなたの最初の変換ステップのためにこれを試してください:あなたは、Javaで動作する可能性があり、実際に使用

sourceanalyzer -b lenya -Xmx1200M -source 1.5 -cp "**/*.jar" "**/*"

出典

2009-12-16 20:53:34 user233276

0

コマンドは、それはいくつかの制限があることを除いて、ビルドします。タッチレスビルドラッパーを使用すると、いくつかのコンパイララッパーが作成されます。javacの場合は、PATH環境変数の前にラッパーを置きます。

build.shスクリプトに/ usr/java/bin/javacなどのjavacへの完全修飾リファレンスが含まれている場合、タッチレスビルド統合は機能しません。

user233276の手順が最も広く使用されています。

"$ANT_HOME/bin/ant" -logger org.apache.tools.ant.NoBannerLogger -emacs [email protected] 


sourceanalyzer -b Lenya "$ANT_HOME/bin/ant" -logger org.apache.tools.ant.NoBannerLogger -emacs [email protected]

を参照してくださいあなたが統合を構築はFortify SCAを試してみたい場合は、私は技術からbuild.sh(http://svn.apache.org/viewvc/lenya/trunk/build.sh?view=markup&pathrev=400414を参照)、チェンジ・ライン43を変更することであろうことをお勧め

  1. オーバーライドbuild.compilerプロパティ:

    01アリ統合の3種類についてはFortify SCAユーザガイド

    アリ-lib sourceanalyzer.jar {アリオプションを強化し} {アリオプション}上記に

  2. ショートカット:

    sourceanalyzerの-bは、{オプションを強化し}アリ{アリオプション}

  3. あるいは、付録に示すように、カスタムのbuild.xmlを作る場合:

    アリ-lib sourceanalyzer.jar {アリオプション}

出典

2010-11-21 23:23:33

関連する問題

 関連する問題