2013-03-01 48 views
1

我正在尝试使用Fortify sca扫描纯.java文件,并经常收到一条错误消息,说我没有包含完整的jar列表。缺少瓶子会影响Fortify扫描结果吗?

“以下对java类的引用无法解析,请确保将包含这些类的所有必需jar文件提供给SCA。”

我的问题是会影响扫描结果吗?这是警告要认真对待吗? (因为我的扫描正在进行;)

干杯。

回答

1

这个从第一原理,而不是产品或应用程序的知识思考:

想必Fortify的将扫描的代码就可以看出,所以它会返回一些有用的结果。但是,由于它无法看到所有的代码,因此无法完成一项完整的工作。

我不知道Fortify能有多聪明,它对抽象工厂等事情有什么作用?这样的设计模式可以有效地确定实际使用哪些类的运行时间,因此您可以根据可用的瓶子获得截然不同的应用程序行为。底线:考虑到你的应用程序可以在某个地方运行,为什么你不能把所有的JAR文件放在一起,让Fortify有机会做一个更完整的工作?

+0

非常感谢djna ... 它是团队之间的协调,首先是问题的原因。 – user2122786 2013-03-05 11:00:05

1

您可以获得部分扫描和结果,但有些问题可能完全错过和/或风险较低。如果您的代码在JAR文件中调用函数,则SCA无法跟踪数据流进出功能。因此这些数据路径进入黑洞并且没有结果返回。

总是最好没有警告和代码将编译进行扫描。