Comment créer un fichier batch pour analyser tous les langages de code supportés par fortify?

Question

Actuellement, je suis en train de scanner du code java dans un référentiel en utilisant le fichier batch fortify et en scannant le code C/C++ dans le même référentiel en utilisant la ligne de commande avec l'aide de l'intégration visuelle studio.

Est-il possible de scanner à la fois Java et le code C/C++ dans un référentiel en utilisant un seul fichier de traitement par lots?
De même, existe-t-il des options de ligne de commande pour analyser les deux langages de codage en même temps?

Answer 1

Oui, mais vous ne devriez probablement pas.

Un balayage (un fichier FPR) devrait représenter une base de code. Sauf si vous avez une application qui fait partie de Java et de la partie C/C++, vous voulez produire 2 FPR séparés, un pour Java et un pour C/C++. Au lieu de cela, prenez vos 2 scripts d'analyse, écrivez un autre script très court qui les appelle, et voilà, un script qui analyse vos deux applications.

Si vous avez une application avec les deux langues, voici ce que vous faites:

Fortify traduit d'abord votre code source dans sa langue intermédiaire (fichiers NST), il scanne les fichiers NST. La traduction est la commande sourceanalyzer où vous la pointez sur votre code, et l'étape de scan est la commande sourceanalyzer avec -scan dedans. Il utilise l'ID de construction pour garder une trace de ces fichiers intermédiaires (c'est l'argument après -b). Pour analyser l'ensemble de la base de code ensemble, traduisez d'abord un ensemble de fichiers, puis traduisez l'autre ensemble de fichiers (en utilisant le même ID de build exact), puis effectuez l'étape de numérisation (même ID de build). analyser tout le code ensemble. Mais faites-le uniquement s'il s'agit d'une seule application.)