Ich habe diese .bat-Datei, die eine meiner Anwendungen bei der Arbeit scannt.HP Fortify ASP.Net Web Forms
Ich vergleiche zwei Möglichkeiten, wie ich die .fpr Datei generiert haben:
- Mit Scan Wizard
- Mit dem HP Fortify Plugin für Visual Studio.
Was passiert ist, dass, wenn die .fpr Datei von Scan Wizard die .bat-Datei generiert wird es vollständig alle meine aspx, aspx.cs und CS-Dateien innerhalb der Anwendung zu ignorieren scheint.
Meine App ist eine alte Web Forms. Um sie zu veröffentlichen, müssen wir diese vorkompilierte Option in Visual Studio auswählen.
Ich habe bereits Erics Lösung in der Post versucht. HP Fortify scans get ASP Pre-Compilation error
Aber immer noch nichts.
Ich habe bereits versucht, die Bat-Datei vor und nach der Veröffentlichung zu generieren, aber beide die gleiche Anzahl von Sicherheitslücken zurückgegeben. Irgendetwas um 15. Nach dem Veröffentlichen erzeugt es DLLs auf allen Seiten, was bedeutet, dass theoretisch der gesamte Anwendungscode erkannt werden sollte.
Auf der anderen Seite, wenn ich die .fpr-Datei über das Visual Studio-Plugin generiert habe, gibt es mir etwa 600 Sicherheitslücken.
Mein echtes Problem ist, dass wir über die .bat-Datei, nicht das Visual Studio laufen müssen, weil wir einen kontinuierlichen Integrationsprozess haben, in dem wir die App erstellen, Code-Analyse ausführen und dann die HP Fortify vervollständigen Ich brauche die Anzahl der Sicherheitslücken, die beim Ausführen des Plugins mit der .bat-Datei zurückgegeben werden.
Jede Hilfe wäre sehr willkommen.
Vielen Dank für Ihre Zeit!
Wenn ich versuche, das Scannen WebGoat.Net mit der Option No.2 in Ihre Antwort, die Drittanbieter-.dlls werden nicht mit dem Platzhalter aufgenommen. Irgendwelche Ideen warum das sein könnte? Ich bemerke in Ihrer Antwort, dass Sie einen Schrägstrich '-libdirs packages \ **/*. Dll;' verwenden, ist das notwendig? – hamo
Der Schrägstrich ist auf alte Gewohnheit, es wird verwendet, um zu prüfen, nur getestet und sieht aus wie vorwärts oder rückwärts funktioniert jetzt. Warum glaubst du, hat es deine Drittanbieter-DLL nicht abgeholt? Kannst du deine Frage mit dem Befehl ausführen? – SBurris
Wenn ich fpr in AWB nach dem Scannen mit Wildcard überprüfen, sind die Third-Party-Bibliotheken nicht aufgeführt, wenn ich sie einzeln angeben, sind sie. – hamo