Fortify sca를 사용하여 순수한 .java 파일을 스캔하려고하는데, 자주 jar의 전체 목록을 포함하지 않았다는 오류 메시지가 나타납니다.항아리가 누락되면 Fortify 검사 결과에 영향을 줍니까?
"Java 클래스에 대한 다음 참조를 확인할 수 없습니다. 이러한 클래스가 포함 된 모든 jar 파일을 SCA에 제공하십시오."
제 질문은 검색 결과에 영향을 미칩니 까? 그리고이 경고는 진지하게 받아 들여지고 있습니까? (그럼에도 불구하고 내 스캔이 진행되고 있기 때문에)
건배. 그것은 몇 가지 유용한 결과를 반환 할 수 있도록
이아마도 포티, 그것은 볼 수있는 코드를 스캔합니다 : 첫 번째 원칙보다는 제품 또는 응용 프로그램의 지식이에 대해 생각
. 그러나 모든 코드를 볼 수 없으므로 완전한 작업을 수행 할 수 없습니다.
요새화가 얼마나 똑똑한 지 모르겠다. 추상 공장과 같은 것들은 무엇을 하는가? 이러한 디자인 패턴은 실제로 어떤 클래스가 사용되는지 런타임에 결정할 수 있으므로 사용 가능한 jar에 따라 근본적으로 다른 응용 프로그램 동작을 얻을 수 있습니다.
결론 : 귀하의 앱을 어딘가에서 실행할 수 있다면, 왜 Fortify에 더 완벽한 작업을 수행 할 수 있도록 모든 JAR 파일을 함께 가져올 수 없습니까?
부분 스캔 및 결과를 얻을 수 있지만 일부 문제는 완전히 누락되거나 위험이 낮을 수 있습니다. 코드가 JAR 파일의 함수를 호출하면 SCA는 데이터 흐름을 함수 안팎으로 따라갈 수 없습니다. 따라서 해당 데이터 경로는 블랙홀로 들어가고 결과는 반환되지 않습니다.
검사를 컴파일 할 경고와 코드가없는 것이 가장 좋습니다.
대단히 감사합니다 ... 먼저 팀 간의 조정, 문제의 원인이됩니다. – user2122786