0
我使用强化16.11来分析其结构像一个项目:当我扫描整个项目,我发现,我在root/module1
一些安全问题Fortify的扫描输出
root/
module1/
module2/
...
但扫描root/module1
只有我当找不到那些问题。
请问任何人都可以向我解释为什么我对不同的扫描得到不同的结果?
感谢,
我使用强化16.11来分析其结构像一个项目:当我扫描整个项目,我发现,我在root/module1
一些安全问题Fortify的扫描输出
root/
module1/
module2/
...
但扫描root/module1
只有我当找不到那些问题。
请问任何人都可以向我解释为什么我对不同的扫描得到不同的结果?
感谢,
Fortify的,必须建立一个完整的调用图,以确定这一发现,我相信它的错误上没有发现,以防止任何“假阳性”的一面。如果您的模块1的查找的调用图/堆栈跟踪来自根目录之外的某些内容,则只是扫描模块1将永远找不到该查找,因为根目录未被扫描。
感谢您的反馈。你发现什么意思?另外,我认为当fortify运行一次扫描时,它会发现一个可疑的安全问题,它会尝试找到导致此问题的原因。如果它可以在'module1'范围内解析源代码,那么如果它在'root'范围内解决它,我们应该在'mosule1'扫描中找到问题,并且当fortify无法解析源代码时,我们应该在两次扫描中找到问题。你认为什么? –
为了使用你的话,我想说一个发现将是一个“可疑的安全问题”。 您想确保扫描是从应用程序入口点完成的。如果这是模块1,那么你不需要扫描根目录。但Fortify无法在不开始的情况下创建完整的堆栈跟踪。希望这是有道理的。 – Jknight12