我的问题:Fortify4.2.1将以下代码标记为易受XML外部实体攻击。TransformerFactoryfactory=TransformerFactory.newInstance();StreamSourcexslStream=newStreamSource(inputXSL);Transformertransformer=factory.newTransformer(xslStream);我试过的解决方法:将XMLConstants.FEATURE_SECURE_PROCESSING的TransformerFactory功能设置为true。研究了向TransformerFac

就像我们有_stprintf的安全版本，即hpfortifybufferoverflow的stprintf_s警告，那么我们可以使用什么来代替wsprintf()？我试过wsprintf_s，它不工作。谁能解释一下b/w_stprintf和wsprintf的区别？或者我们可以使用stprintf_s作为wsprintf的安全版本。 最佳答案 选项记录在wsprintf下:NoteDonotuse.Considerusingoneofthefollowingfunctionsinstead:StringCbPrintf,StringC

有人用命令行运行过fortify吗？我尝试将fortifyrun合并到我的CI构建中，但我不知道该怎么做。 最佳答案 由于我无法添加评论，所以我必须提供这个作为答案。我们公司已将扫描过程集成到我们的TFS构建环境中，并且运行良好。我们使用一系列“InvokeProcess”构建事件来实现这一点。整个安全扫描序列包含在一个条件中，该条件作为构建定义的参数公开。这使我们能够根据需要启用或禁用扫描。我们还公开了一些其他内容，例如FortifyProject、FortifyProjectVersion和上传FPR文件的另一个条件。它的要点是

我使用sca-maven-plugin为我的项目设置了一个SCA扫描设置，它​​是我从源代码构建并安装到我的本地存储库中的。我的构建是通过安装了Fortify的服务器上的TeamCity构建代理运行的。运行扫描没有任何问题，我很高兴使用ReportGenerator从生成的.fpr生成报告。早期的报告表明我有一些来自PHP文件的漏洞，这些漏洞被错误地包含在项目(这是一个Java项目)中。删除这些文件后，为什么Fortify仍然报告这些文件的漏洞，即使它们不再存在于我的项目中？我已经确认构建代理配置为在检查最新版本之前清理所有源，事实上我可以在服务器本身上看到这些PHP文件不再存在，但是

当我使用fortify工具进行扫描时，我在“XML外部实体注入(inject)”下遇到了一些问题。TransformerFactorytrfactory=TransformerFactory.newInstance();这是显示错误的地方。我已经按照fortify的建议进行了以下修复trfactory.setFeature("http://xml.org/sax/features/external-general-entities",false);trfactory.setFeature("http://xml.org/sax/features/external-parameter-e

我有一个Controller类，其中包含以下两种查找医生的方法(上下文已更改)。获取MassAssignment:InsecureBinderConfiguration(APIAbuse,Structural)两种方法都出现错误。@Controller@RequestMapping(value="/findDocSearch")publicclassController{@AutowiredprivateIFindDocServicefindDocService;@RequestMapping(value="/byName",method=RequestMethod.GET)@Resp

我想对MavenEclipse项目运行Fortify扫描。我应该从哪里开始？我知道我需要更新我的pom.xml文件以包含Fortify插件，但是我是否还需要在我的机器上安装FortifySCA？(我正在运行MacOSX)。我一直试图找到一个下载FortifySCA的地方，但一直找不到。如果有人可以分享一些链接来为我指明正确的方向以完成设置，我将不胜感激。 最佳答案 实际上不需要配置文件，只需要插件配置。com.fortify.ps.maven.pluginsca-maven-plugin4.30truetrue800MmyJavaV

我使用反射来调用类的私有(private)构造函数，以解决Sonar扫描报告显示的分支覆盖不足问题。这是我正在工作的代码片段://reflectiontoaccessaprivateconstructorofaclassConstructorc=CMISBridgeMaps.class.getDeclaredConstructor(newClass[0]);c.setAccessible(true);cmisBridgeMaps=c.newInstance(newObject[0]);以上代码解决了我的Sonar扫描关键问题。但不幸的是，fortify现在在以下行中显示访问说明符操作问

我正在从客户端获取SUBSCRIPTION_JSON，我将其转换为字符串，然后使用gson库将其设置为模型对象。在Fortifysecurity上运行代码时，它在下面的代码中给我Json注入(inject)错误，并显示以下消息:这是错误:Online159ofActionHelper.java,themethodjsonToObject()writesunvalidatedinputintoJSON.ThiscallcouldallowanattackertoinjectarbitraryelementsorattributesintotheJSONentity.Themethodwr

我有以下Fortify安全问题:JSONInjection:Ensurethatallserializationisperformedusingasafeserializationfunctionthatdelimitsuntrusteddatawithinsingleordoublequotesandescapesanyspecialcharacters.下面是我的代码:publicStringsaveJson(Stringjson,longID,StringuserId)throwsSQLException,JsonParseException,JsonMappingExcepti