Я пытаюсь использовать анализатор исходного кода Fortify для исследовательского проекта в моей школе, чтобы проверить безопасность веб-приложений с открытым кодом Java. В настоящее время я работаю над Apache Lenya. Я работаю с последним стабильным выпуском (Lenya v2.0.2).Fortify Source Analyzer и Apache Lenya
В корневом каталоге находится файл с именем build.sh
. Этот файл вызывается для создания Lenya с использованием версии Ant, которая поставляется с релизом (в папке tools/bin
). Я могу построить Леню просто отлично, когда я запускаю ./build.sh
. Таким образом, было бы предположить, что, выполнив следующую команду в Fortify будет работать:
sourceanalyzer -b lenya -Xmx1200M touchless ./build.sh
Однако, когда я пытаюсь запустить:
sourceanayzer -b lenya -Xmx1200M -scan -f lenya.fpr
я получаю:
Идентификатор сборки Леня не найдено.
Я смотрел на buid.sh файл и заметил, что это было просто сбросить текущий муравей домой, и путь к классам муравой опции переменных, выполнив команду муравой сборки и сброс значения обратно в их значение по умолчанию. Поэтому я сбросить все переменные вручную (без сценария) вместо запуска сценария и побежал:
sourceanalyzer -b lenya -Xmx1200M touchless tools/bin/ant -logger org.apache.tools.ant.NoBannerLogger
Тогда я побежал:
sourceanalyzer -b lenya -Xmx1200M -scan -f lenya.fpr
, но я получил ту же ошибку. Я не уверен, что это потому, что я делаю что-то неправильно или это что-то, что Fortify не делает правильно. Любое понимание будет замечательным.