0
我使用强化16.11来分析其结构像一个项目:当我扫描整个项目,我发现,我在root/module1一些安全问题Fortify的扫描输出
root/
module1/
module2/
...
但扫描root/module1只有我当找不到那些问题。
请问任何人都可以向我解释为什么我对不同的扫描得到不同的结果?
感谢,
A
回答
1
Fortify的,必须建立一个完整的调用图,以确定这一发现,我相信它的错误上没有发现,以防止任何“假阳性”的一面。如果您的模块1的查找的调用图/堆栈跟踪来自根目录之外的某些内容,则只是扫描模块1将永远找不到该查找,因为根目录未被扫描。
相关问题
- 1. Dot net fortify扫描
- 2. Fortify的重新扫描发出
- 3. OCR扫描不显示扫描输出
- 4. HP Fortify的使用扫描摇篮
- 5. 如何使用Fortify安全扫描软件扫描JS文件
- 6. Fortify扫描.net核心项目
- 7. 运行Fortify扫描多个maven项目
- 8. Fortify Audit Workbench扫描引擎错误
- 9. Fortify扫描集成在jenkins中
- 10. iwlist扫描输出格式
- 11. Fortify在扫描Visual Studio项目时抛出错误
- 12. 扫描仪不扫描我的输入
- 13. 使用扫描仪扫描Java输入
- 14. 在shell中扫描程序的输出
- 15. HP Fortify查看自上次扫描后创建的问题
- 16. Scanning.Net代码库与Fortify的扫描向导和-libdirs参数
- 17. 使用扫描仪输入时出错
- 18. 解析iw wlan0扫描输出
- 19. 访问条码扫描仪输出?
- 20. Java:扫描仪输出不佳
- 21. 扫描器输入:抛出NoSuchElementException
- 22. HP Fortify扫描警告:无法解决参考
- 23. HP Fortify扫描得到ASP预编译错误
- 24. 是否有可能在Jenkins上显示Fortify扫描结果
- 25. 如何配置fortify以便扫描C#代码?
- 26. 缺少瓶子会影响Fortify扫描结果吗?
- 27. 如何使用Fortify Scan 16.11扫描dotnet核心项目.Json
- 28. 这是使用扫描仪扫描多个输入的方式
- 29. 用扫描仪输入
- 30. 终止扫描器输入
感谢您的反馈。你发现什么意思?另外,我认为当fortify运行一次扫描时,它会发现一个可疑的安全问题,它会尝试找到导致此问题的原因。如果它可以在'module1'范围内解析源代码,那么如果它在'root'范围内解决它,我们应该在'mosule1'扫描中找到问题,并且当fortify无法解析源代码时,我们应该在两次扫描中找到问题。你认为什么? –
为了使用你的话,我想说一个发现将是一个“可疑的安全问题”。 您想确保扫描是从应用程序入口点完成的。如果这是模块1,那么你不需要扫描根目录。但Fortify无法在不开始的情况下创建完整的堆栈跟踪。希望这是有道理的。 – Jknight12