Fortify на Oracle кодовой

поведения Fortify SCA для оракула кодового (.sql, .trig, .pkg, .syn и т.д. файлов) не как ожидалось:Fortify на Oracle кодовой

замечания: 1) он сообщает Ноль проблемы с Oracle кодового (с). 2) Он рассматривает только файлы .sql, но не любые другие .pkg и т. Д. Хотя введение com.fortify.sca.fileextensions.pkg = PLSQL в fortify-sca.properties помогает. Он по-прежнему не рассматривает файлы .pkg. Есть ли еще какой-то шаг, необходимый для достижения этого? 3) Представляя код SQL-injeciton (https://docs.oracle.com/cd/E38689_01/pt853pbr0/eng/pt/tpcd/task_PreventingSQLInjection-0749b7.html) для тестирования, также помогите. Он также не поймает эту проблему.

Эти известные проблемы?

Может кто-нибудь проконсультироваться.

источник

2014-12-02 Vishal Chugh

По умолчанию файлы с расширением sql считаются T-SQL, а не PL/SQL на платформах Windows. Если вы используете Windows и имеете файлы PL/SQL с расширением sql, вы можете настроить SCA для обработки их как PL/SQL, а не явно указывать их каждый раз при запуске sourceanalyzer. Чтобы изменить поведение по умолчанию, установите com.fortify.sca.fileextensions.sql недвижимость в fortify-sca.properties на «TSQL» или «PLSQL.»

источник

2014-12-04 07:17:25

Venu - SQL-файлы уже рассмотрены, но не распознают другие расширения как .syn, .trig и .pkg и т. Д. Я не указываю явно нигде. Я запускаю Audit Workbench для сканирования. В самом первом окне он отображает пакеты, синонимы и триггеры, серые (не распознаются). Даже изменение выше свойства, как указано выше, помогает. –

Попробуйте использовать sourceanalyzer через командную строку –

Venu - Те же результаты даже после использования команд. Не уверен, что, если ожидается, что Fortify SCA будет работать с расширениями .trig, .syn (включив такие расширения в файл fortify-sca.properties: хотя их явное добавление явно не помогает, эти расширения по-прежнему остаются непризнанными). Он отлично работает для расширений .pkb, .pks, .sql. –

ответ

Смежные вопросы