我们正在运行强化以检查安全漏洞和声纳以进行代码清理。
我想知道我们是否可以在 fortify 中启用静态代码分析并摆脱 sonar/pmd/findbugs 等。
我有一个 java 项目,将使用 fortify sca 检查安全漏洞。我还使用声纳进行代码质量和清理。
有人说我可以在 fortify 中配置声纳类型的规则,这样我就可以避免声纳并节省构建时间。
基本上我想在 fortify 中配置声纳规则集。因此,fortify 检查安全漏洞和代码质量并进行清理。
先感谢您。
最佳答案
默认的 Fortify 规则集包括许多“类声纳”样式检查。例如,空取消引用或不良异常处理。它没有所有的声纳检查,但您可以使用自定义规则自己进行检查。
有关示例,请参阅此帖子:
How to write Fortify custom rules language specific?
这是一个基于 Spring MVC 的:
http://blog.gdssecurity.com/labs/2013/12/2/building-fortify-custom-rules-for-spring-mvc.html
Fortify 还包括 findbugs,并且还为 findbugs OSS 代码做出了贡献。
关于fortify - 在 Fortify 中启用 pmd 类型的分析,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33825086/