HP Fortify 不会创建“批处理”文件

Question

所有， 我正在尝试对代码存储库进行静态扫描，HP Fortify SCA and Applications 4.42 中的扫描向导不会为扫描创建批处理文件。

我可以添加项目根目录，然后系统会找到所有文件，大约 18,000 个左右。

然后第二个屏幕显示文件类型及其数量。我点击下一步按钮。

然后“依赖项”页面显示未解析的类列表。我点击下一步按钮。 整个窗口消失了……

通常，会显示一个包含不同语言选项的窗口，我可以选择我想要使用的 Java 或 Pl/Sql 版本。这不会发生。

有人对我如何使它工作有任何建议吗？

谢谢你， 拉里

Answer 1

有两种不同的尝试：

权限

以管理员身份运行 ScanWizard（右键单击 -> 以管理员身份运行）。这将确保没有发生权限问题。

内存

这可能与内存和正在查看的文件数量有关。在程序运行时，查看进程以查看占用了多少内存。默认情况下，ScanWizard JVM 有 300MB 可供使用。

这可能需要增加。这在 ScanWizard.cmd 文件中进行了更改。

位置：<HPE Fortify Install>/bin/ScanWizard.cmd

用你最喜欢的文本编辑器打开它并更改此行的-Xmx300M 命令选项：

"%JAVA_CMD%" -Xmx300M -jar "%~dp0\..\Core\lib\ScanWizard-16.10.jar" %*

这是一个标准的 JVM 选项，所以将值保留为整数并使用 M 或 G（单位没有空格）

例子：

• "%JAVA_CMD%" -Xmx800M -jar "%~dp0\..\Core\lib\ScanWizard-16.10.jar" %*
• "%JAVA_CMD%" -Xmx1G -jar "%~dp0\..\Core\lib\ScanWizard-16.10.jar" %*
• "%JAVA_CMD%" -Xmx2G -jar "%~dp0\..\Core\lib\ScanWizard-16.10.jar" %*

旁注

我个人不喜欢 ScanWizard，它会创建非常复杂的批处理文件。我更喜欢直接调用 sourceanalyzer.exe 生成自己的批处理文件。

Answer 2

Fortify 静态代码分析器 (SCA) 是否创建了 Fortify 项目报告 (FPR) 文件？如果是这样，请在 Audit Workbench (AWB) 中打开它或将 FPR 上传到软件安全中心 (SSC) 以查看扫描错误。

FPR 将列在 SSC 的“扫描”选项卡中。

扫描错误显示在文件列表中的红点中。

另一方面，如果您正在查看 AWB 中的 FPR 文件，请打开“分析信息”选项卡

然后查看下方的“警告”选项卡。

但我怀疑 SCA 未能成功生成 FPR。

无论如何，请查看您的 SCA 日志文件以获取未解析类的报告。对于使用 Fortify 4.40 运行的扫描，日志文件位于 C:\Users_user_\AppData\Local\Fortify\sca6.4\log。您可能不止一次包含库。或者您成功编译的原因是包含了来自 tomcat 的库或 SCA 在代码库中找不到的其他来源。