0
不出所料
用于Oracle的代码库(.SQL,.trig,的.pkg,.syn等文件)Fortify的SCA行为不是:Fortify的甲骨文代码库
观察: 1)报告与Oracle的代码库零问题( S)。 2)它只考虑.sql文件,但不考虑任何其他.pkg等。尽管在fortify-sca.properties dint帮助中引入了com.fortify.sca.fileextensions.pkg = PLSQL。它仍然不考虑.pkg文件。是否有任何其他步骤来实现这一目标? 3)为了测试目的,虽然引入了SQL注入代码(https://docs.oracle.com/cd/E38689_01/pt853pbr0/eng/pt/tpcd/task_PreventingSQLInjection-0749b7.html),但也有帮助。它也没有捕捉到这个问题。
这些已知问题?
有人可以请指教。
VENU - SQL文件已经被考虑过了,但是它不会识别其他扩展名为.syn,.trig和.pkg等。我没有在任何地方明确指定。我正在启动Audit Workbench进行扫描。在第一个窗口中,它显示软件包,同义词和触发器文件夹灰色(未识别)。即使改变上述财产,如上所述帮助。 – 2014-12-04 11:55:03
尝试通过命令提示符使用源分析器 – 2014-12-04 12:37:14
Venu - 即使在使用命令行后也是如此。不知道,如果Fortify SCA预计在.trig,.syn扩展中工作(通过在fortify-sca.properties文件中包含这样的扩展:尽管显式地添加它们并没有帮助,但这些扩展仍然无法识别)。它的工作非常好.pkb,.pks,.sql扩展名。 – 2014-12-05 10:40:50