У меня есть этот .bat-файл, который сканирует одно из моих приложений на работе.HP Fortify ASP.Net Web Forms
я сравниваю два пути я сгенерировали .fpr файл:
- Использование мастера сканирования
- Использование HP FORTIFY плагин для Visual Studio.
Что происходит, когда файл .fpr генерируется байт-файлом Scan Wizard, он, кажется, полностью игнорирует все мои файлы .aspx, aspx.cs и .cs внутри приложения.
Мое приложение - это старые веб-формы, которые, чтобы опубликовать его, мы должны выбрать эту предварительно скомпилированную опцию в Visual Studio.
Я уже пробовал решение Эрика в сообщении. HP Fortify scans get ASP Pre-Compilation error
Но все равно ничего.
Я уже пытался создать файл летучей мыши до и после публикации, но оба возвращали одинаковое количество уязвимостей. Что-то около 15. После публикации он генерирует dll на все страницы, хотя это означает, что теоретически он должен обнаружить весь код приложения.
С другой стороны, когда я сгенерировал файл .fpr через плагин Visual Studio, он возвращает мне около 600 уязвимостей.
Моя настоящая проблема заключается в том, что нам нужно запускать файл .bat, а не Visual Studio, потому что у нас есть непрерывный процесс интеграции, в котором мы создаем приложение, запускаем анализ кода, а затем HP Fortify, чтобы завершить процесс, поэтому мне нужно, чтобы количество уязвимостей, возвращаемых при запуске плагина, было одним и тем же, когда я запускаю файл .bat.
Любая помощь будет очень признательна.
Благодарим вас за внимание!
При попытке сканирования WebGoat.Net с помощью опции № 2 в ваш ответ, сторонние .dll не подбираются с использованием шаблона. Есть идеи, почему это может быть? Я замечаю, что в вашем ответе вы используете косую черту '-libdirs '\ **/*. Dll;', это необходимо? – hamo
Передняя косая черта по старой привычке, она используется для материи, просто проверена и выглядит как вперед или назад. Почему вы думаете, что он не взял вашу стороннюю DLL? Может ли ваш вопрос выполнить команду? – SBurris
Когда я проверяю fpr в AWB после сканирования с помощью подстановочного знака, сторонние библиотеки не указаны, если я их укажу отдельно. – hamo