fortify怎么掃描java

Fortify SCA 有兩個文件：auditworkbench.cmd和sourceanalyzer.exe，auditworkbench.cmd是查看靜態(tài)分析報(bào)告的工具，sourceanalyzer.exe是靜態(tài)代碼分析器。這里我們還看到了一個FindBugs的目錄，這是因?yàn)檫@個版本的Fortify集成了此功能，你可以通過傳參給sourceanalyzer.exe調(diào)用FindBugs（但我一般不這么做，可以直接使用FindBugs的話，為什么還要通過sourceanalyzer.exe調(diào)呢？）。

創(chuàng)新互聯(lián)專業(yè)為企業(yè)提供屯留網(wǎng)站建設(shè)、屯留做網(wǎng)站、屯留網(wǎng)站設(shè)計(jì)、屯留網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)與制作、屯留企業(yè)網(wǎng)站模板建站服務(wù)，十年屯留做網(wǎng)站經(jīng)驗(yàn)，不只是建網(wǎng)站，更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

開始掃描靜態(tài)分析，首先CMD進(jìn)入Java源代碼目錄，然后“H:\Fortify\sourceanalyzer.exe -classpath "**/*.jar" -f test.fpr .”，在當(dāng)前目錄得到結(jié)果報(bào)告test.fpr。

更多Fortify SCA 問題可以咨詢我

靜態(tài)代碼掃描工具 哪個好 java

1、 Checkstyle

Checkstyle 是SourceForge的開源項(xiàng)目，通過檢查對代碼編碼格式，命名約定，Javadoc，類設(shè)計(jì)等方面進(jìn)行代碼規(guī)范和風(fēng)格的檢查，從而有效約束開發(fā)人員更好地遵循代碼編寫規(guī)范。Checkstyle 提供了支持大多數(shù)常見IDE的插件。

2、FindBugs

FindBugs 是由馬里蘭大學(xué)提供的一款開源 Java 靜態(tài)代碼分析工具。FindBugs 通過檢查類文件或 JAR 文件，將字節(jié)碼與一組缺陷模式進(jìn)行對比從而發(fā)現(xiàn)代碼缺陷，完成靜態(tài)代碼分析。FindBugs 既提供可視化 UI 界面，同時(shí)也可以作為 Eclipse 插件使用。

3、PMD

PMD 是由 DARPA 在 SourceForge 上發(fā)布的開源 Java 代碼靜態(tài)分析工具。PMD 通過其內(nèi)置的編碼規(guī)則對 Java 代碼進(jìn)行靜態(tài)檢查，主要包括對潛在的 bug，未使用的代碼，重復(fù)的代碼，循環(huán)體創(chuàng)建新對象等問題的檢驗(yàn)。PMD 提供了和多種 Java IDE 的集成，例如 Eclipse，IDEA，NetBean 等。

4、Jtest

Jtest 是Parasoft 公司推出的一款針對Java語言的自動化代碼優(yōu)化和測試工具，Jtest 的靜態(tài)代碼分析功能能夠按照其內(nèi)置的超過800條的 Java 編碼規(guī)范自動檢查并糾正這些隱蔽且難以修復(fù)的編碼錯誤。同時(shí)，還支持用戶自定義編碼規(guī)則，幫助用戶預(yù)防一些特殊用法的錯誤。

有誰可以介紹java源代碼漏洞掃描工具不?小弟急用。、、、、

源代碼漏洞掃描？？？

怎么可能有這種定西。。。就算有也不是一般人能有的。。。

要不然 軟件測試的那幫人 干嘛去

java開發(fā)工具中的代碼管理工具有那些？

Code Review中文應(yīng)該譯作“代碼審查”或是“代碼評審”，這是一個流程，當(dāng)開發(fā)人員寫好代碼后，需要讓別人來review一下他的代碼，這是一種有效發(fā)現(xiàn)BUG的方法。由此，我們可以審查代碼的風(fēng)格、邏輯、思路……，找出問題，以及改進(jìn)代碼。因?yàn)檫@是代碼剛剛出爐的時(shí)候，所以，這也是代碼重構(gòu)，代碼調(diào)整，代碼修改的最佳時(shí)候。所以，Code Review是編碼實(shí)現(xiàn)中最最重要的一個環(huán)節(jié)。長時(shí)間以來，Code Review需要有一些有效的工具來支持，這樣我們就可以更容易，更有效率地來進(jìn)行代碼審查工作。下面是5個開源的代碼審查工具，他們可以幫助你更容易地進(jìn)行這項(xiàng)活動。1. Review board: Review board 是一個 基于web 的工具，主要設(shè)計(jì)給 django 和python的用戶。 Review board 可以幫助我們追蹤待決代碼的改動，并可以讓Code-Review更為容易和簡練。盡管Review board 最初被設(shè)計(jì)在VMware項(xiàng)目中使用，但現(xiàn)在其足夠地通用。當(dāng)前，其支持這些代碼版本管理軟件： SVN, CVS, Perforce, Git, Bazaar, 和Mercurial.Yahoo 是review-board的其中一個用戶?！癛eview board 已經(jīng)改變了代碼評審的方式，其可以強(qiáng)迫高質(zhì)量的代碼標(biāo)準(zhǔn)和風(fēng)格，并可以成為程序員編程的指導(dǎo)者。每一次，當(dāng)你訪問search.yahoo.com 時(shí)，其代碼都是使用 Review board工具Review過的。 We’re great fans of your work!”– Yahoo! Web Search 2. Codestriker: Codestriker 也是一個基于Web的應(yīng)用，其主要使用 GCI-Perl 腳本支持在線的代碼審查。Codestriker 可以集成于CVS, Subversion, ClearCase, Perforce 和Visual SourceSafe。并有一些插件可以提供支持其它的源碼管理工具。David Sitsky 是 Codestriker 的作者，并也是最活躍的開發(fā)人員之一。 Jason Remillard 是另一個活路的開發(fā)者，并給這個項(xiàng)目提供了最深遠(yuǎn)最有意義的貢獻(xiàn)。大量的程序員貢獻(xiàn)他們的代碼給 Codestriker 項(xiàng)目，導(dǎo)致了這個項(xiàng)目空前的繁榮。 3. Groogle: Groogle 是一個基于WEB的代碼評審工具。 Groogle 支持和 Subversion 集成。它主要提供如下的功能：各式各樣語言的語法高亮。 支持整個版本樹的比較。 支持當(dāng)個文件不同版本的diff功能，并有一個圖形的版本樹。 郵件通知所有的Reivew的人當(dāng)前的狀態(tài)。 認(rèn)證機(jī)制。 4. Rietveld: Rietveld 由Guido van Rossum 開發(fā)（他是Python的創(chuàng)造者，現(xiàn)在是Google的員工），這個工具是基于Mondrian 工具，作者一開始是為了Google 開發(fā)的，并且，它在很多方面和Review board 很像。它也是一個基于Web的應(yīng)用，并可以Google App Engine 當(dāng)主機(jī)。它使用了目前最流行的Web開發(fā)框架 django 并支持 Subversion 。當(dāng)前，任何一個使用 Google Code 的項(xiàng)目都可以使用 Rietveld 并且使用 python Subversion 服務(wù)器。當(dāng)然，它同樣支持其它的Subversion服務(wù)器。 5. JCR JCR 或者叫做 JCodeReview 也是一個基于WEB界面的最初設(shè)計(jì)給Reivew Java 語言的一個工具。當(dāng)然，現(xiàn)在，它可以被用于其它的非Java的代碼。JCR 主要想?yún)f(xié)助：審查者。所有的代碼更改都會被高亮，以及大多數(shù)語言的語法高亮。Code extracts 可以顯示代碼評審意見。如果你正在Review Java的代碼，你可以點(diǎn)擊代碼中的類名來查看相關(guān)的類的聲明。 項(xiàng)目所有者。可以 輕松創(chuàng)建并配置需要Review的項(xiàng)目，并不需要集成任何的軟件配置管理系統(tǒng)（SCM）。 流程信仰者。 所有的評語都會被記錄在數(shù)據(jù)庫中，并且會有狀態(tài)報(bào)告，以及各種各樣的統(tǒng)計(jì)。 架構(gòu)師和開發(fā)者。 這個系統(tǒng)也可以讓我們查看屬于單個文件的評語，這樣有利于我們重構(gòu)代碼。