Translation選項

描述

-b 

指定一個build_id. Fortify SCA使用生成(chéng) ID 來跟蹤作爲生成(chéng)的一部分編譯和組合的文件，然後(hòu)掃描這(zhè)些文件。

等效屬性名稱：
com.fortify.sca.BuildID

-disable-language 

指定要從翻譯階段排除的語言的分隔列表。有效的語言值爲 abap, actionscript, apex, cfml, cobol, configuration, cpp, dotnet, golang, java, javascript, jsp, kotlin, objc, php, plsql, python, ruby, scala, sql, swift, tsql, typescript, vb.

等效屬性名稱：
com.fortify.sca.DISabledLanguages

-enable-language 

指定要翻譯的語言的冒号分隔列表。有效的語言值爲 abap, actionscript, apex, cfml, cobol, configuration, cpp, dotnet, golang, java, javascript, jsp, kotlin, objc, php, plsql, python, ruby, scala, sql, swift, tsql, typescript, vb.

等效屬性名稱：
com.fortify.sca.EnabledLanguages

-exclude

指定要從翻譯中排除的文件。從翻譯中排除的文件也不會(huì)被掃描。用分号 （Windows） 或冒号（非 Windows）分隔多個文件路徑。例如：

sourceanalyzer –cp "**/*.jar" "**/*" -exclude "**/Test/*.java"

此示例排除任何子目錄中的所有 Java 文件。

注意： 當您將(jiāng)轉換與大多數編譯器或生成(chéng)工具集成(chéng)時(shí)，Fortify 靜态代碼分析器會(huì)轉換編譯器或生成(chéng)工具處理的所有源文件，即使此選項指定排除它們。但是，Fortify Static Code Analyzer xcodebuild和MSBuild集成(chéng)确實支持該選項。exclude

等效屬性名稱：
com.fortify.sca.exclude

-encoding 

指定源文件編碼類型。Fortify靜态代碼分析器使您能(néng)夠掃描包含不同編碼源文件的項目。要處理多編碼項目，必須在翻譯階段指定-encoding選項，此時(shí)Fortify靜态代碼分析器首先讀取源代碼文件。Fortify靜态代碼分析器在構建會(huì)話中記住此編碼，并將(jiāng)其傳播到FVDL文件中。

有效的編碼名稱來自 .java.nio.charset.Charset

通常，如果未指定編碼類型，則 Fortify 靜态代碼分析器將(jiāng)使用構造函數中的編碼參數。在少數情況下（例如，使用 ActionScript 解析器），Fortify Static Code Analyzer 默認爲編碼。file.encodingjava.io.InputStreamReaderUTF-8

等效屬性名稱：
com.fortify.sca.InputFileEncoding

-nc

如果在編譯器命令行之前指定，Fortify 靜态代碼分析器會(huì)轉換源文件，但不運行編譯器。

-noextension-type 

指定沒(méi)有文件擴展名的源文件的文件類型。有效的文件類型值爲 ABAP, ACTIONSCRIPT, APEX, APEX_OBJECT, APEX_TRIGGER, ARCHIVE, ASPNET, ASP, ASPX, BITCODE, BSP, BYTECODE, CFML, COBOL, CSHARP, DOCKERFILE, GENERIC, GO, HOCON, HTML, INI, JAVA, JAVA_PROPERTIES, JAVASCRIPT, JSP, JSPX, KOTLIN, MSIL, MXML, OBJECT, PHP, PLSQL, PYTHON, RUBY, RUBY_ERB, SCALA, SWIFT, SWC, SWF, TLD, SQL, TSQL, TYPESCRIPT, VB, VB6, VBSCRIPT, VISUAL_FORCE, VUE, XML.

分析選項

描述

-b 

指定build_id在先前的翻譯命令中使用。

等效屬性名稱：
com.fortify.sca.BuildID

-scan

導緻Fortify靜态代碼分析器對(duì)指定的生成(chéng) ID 執行安全分析。

注意：在同一sourceanalyzer命令中，不要將(jiāng)此選項與-scan-module選項一起(qǐ)使用。

-scan-module

導緻Fortify靜态代碼分析器將(jiāng)指定的生成(chéng) ID 作爲單獨的模塊執行安全分析。

注意： 在同一sourceanalyzer命令中，不要將(jiāng)此選項與-scan選項一起(qǐ)使用。

等效屬性名稱：
com.fortify.sca.ScanScaModule

-include-modules

將(jiāng)以前掃描的庫指定爲以逗号或冒号分隔的生成(chéng) ID 列表中的單獨模塊，以包含在項目掃描中。

等效屬性名稱：
com.fortify.sca.IncludeScaModules

-analyzers 

指定要使用冒号或逗号分隔的分析器列表啓用的分析器。有效的分析器名稱包括緩沖區、内容、配置、控制流、數據流、nullptr、語義和結構。

您可以使用此選項禁用安全要求不需要的分析器。

等效屬性名稱：
com.fortify.sca.DefaultAnalyzers

-p |
-scan-precision 

使用快速掃描以掃描精度級别掃描項目。掃描精度級别越低，掃描性能(néng)越快。有效值爲1、2、3和4。

等效屬性名稱：
com.fortify.sca.PrecisionLevel

-quick

使用該文件快速掃描項目中的關鍵和高優先級問題，該文件可提供不太深入的分析。默認情況下，fortify-sca-quickscan.properties快速掃描禁用緩沖區分析器和控制流分析器.此外，它還(hái)應用了快速視圖過(guò)濾器組.

等效屬性名稱：
com.fortify.sca.QuickScanMode

-bin |
-binary-name 

指定要掃描的源文件的子集。掃描中僅包含構建時(shí)在命名二進(jìn)制文件中鏈接的源文件。可以多次使用此選項來指定在掃描中包含多個二進(jìn)制文件。

等效屬性名稱：
com.fortify.sca.BinaryName

-disable-default-rule-type

禁用默認規則包中指定類型的所有規則。您可以多次使用此選項來指定多個規則類型。

參數是 XML 标記減去後(hòu)綴。例如，用于數據流源規則元素。還(hái)可以指定特征規則的特定部分，例如 、 和 。RuleDataflowSourceCharacterization:Control flowCharacterization:IssueCharacterization:Generic

該參數不區分大小寫。

-filter 

指定結果篩選器文件。

等效屬性名稱：
com.fortify.sca.FilterFile

-no-default-issue-rules

禁用默認規則包中直接導緻問題的規則。Fortify靜态代碼分析器仍加載表征函數行爲的規則。

注意： 這(zhè)等效于禁用以下規則類型：數據流接收器、語義、控制流、結構、配置、内容、統計、内部和特征：問題。

等效屬性名稱：
com.fortify.sca.NoDefaultIssueRules

-no-default-rules

禁用從默認規則包加載規則。Fortify 靜态代碼分析器處理描述元素和語言庫的規則包，但不處理任何規則。

等效屬性名稱：
com.fortify.sca.NoDefaultRules

-no-default-source-rules

禁用默認規則包中的源規則。

注意： 不會(huì)禁用特征源規則。

等效屬性名稱：
com.fortify.sca.NoDefaultSourceRules

-no-default-sink-rules

禁用sink默認規則包中的規則。

注意： 未禁用特征接收器規則。

等效屬性名稱：
com.fortify.sca.NoDefaultSinkRules

-project-template 

指定問題模闆用于掃描的文件。這(zhè)僅影響本地計算機上的掃描。如果您上傳FPR到 Micro Focus Fortify 軟件安全中心，它使用分配給應用程序版本.

等效屬性名稱：
com.fortify.sca.ProjectTemplate

-rules  | 

指定自定義規則包或目錄。您可以多次使用此選項來指定多個Rulepack文件。如果指定了一個目錄，Fortify靜态代碼分析器將(jiāng)包含該目錄中擴展名爲.bin和.xml的所有文件。

等效屬性名稱：
com.fortify.sca.RulesFile

輸出選項

描述

-f |
-output-file 

指定將(jiāng)分析結果寫入的文件。如果未指定輸出文件，Fortify 靜态代碼分析器會(huì)將(jiāng)輸出寫入終端。

等效屬性名稱：
com.fortify.sca.ResultsFile

-format 

控制輸出格式。有效選項包括fpr、fvdl、 fvdl.zip、text和auto。默認值爲auto，它根據-f選項提供的文件的文件擴展名選擇輸出格式。

這(zhè)FVDL是一個 XML 文件，其中包含詳細的強化靜态代碼分析器分析結果。這(zhè)包括脆弱性詳細信息、規則說(shuō)明、代碼片段、掃描中使用的命令行選項以及任何掃描錯誤或警告。

這(zhè)FPR是分析結果的包，其中包括 FVDL 文件以及額外的信息，例如掃描中使用的源代碼的副本，外部元數據和自定義規則（如适用）。Micro Focus Fortify Audit Workbench 會(huì)自動與.fpr文件擴展名關聯。

注意： 如果使用結果認證，則必須指定fpr格式。請參閱 Micro Focus Fortify 審核工作台用戶指南，了解有關結果認證的信息。

您可以防止某些信息包含在 FPR 或 FVDL 文件中，以縮短掃描時(shí)間或輸出文件大小。

等效屬性名稱：
com.fortify.sca.Renderer

-append

將(jiāng)結果追加到使用-f選項指定的文件。生成(chéng)的FPR包含早期掃描的問題以及當前掃描的問題。構建信息和程序數據（源和接收器列表）部分也會(huì)合并。要使用此選項，輸出文件格式必須爲fpr或fvdl。

引擎數據（包括Fortify安全内容信息、命令行選項、系統屬性、警告、錯誤和其他有關Fortify靜态代碼分析器執行的信息（與所分析程序的信息相反））未合并。由于引擎數據未與-append選項合并，因此Fortify不會(huì)驗證使用-append生成(chéng)的結果。

如果未指定此選項，Fortify靜态代碼分析器會(huì)將(jiāng)任何新的結果添加到FPR文件中，并將(jiāng)舊的結果标記爲以前的結果。

通常，當無法同時(shí)分析整個應用程序時(shí)，隻能(néng)使用-append選項。

等效屬性名稱：
com.fortify.sca.OutputAppend

-build-label 

指定正在掃描的項目的标簽。fortify靜态代碼分析器不使用此标簽，但將(jiāng)其包含在分析結果中。

等效屬性名稱：
com.fortify.sca.BuildLabel

-build-project 

指定正在掃描的項目的名稱。Fortify 靜态代碼分析器不使用名稱，而是將(jiāng)其包含在分析結果中。

等效屬性名稱：
com.fortify.sca.BuildProject

-build-version 

指定正在掃描的項目的版本。Fortify 靜态代碼分析器不使用版本，但將(jiāng)其包含在分析結果中。

等效屬性名稱：
com.fortify.sca.BuildVersion

-disable-source-bundling

從 FPR 文件中排除源文件。

等效屬性名稱：
com.fortify.sca.FPRDisableSourceBundling

-fvdl-no-descriptions

從分析結果文件中排除Fortify安全内容說(shuō)明。

等效屬性名稱：
com.fortify.sca.FVDLDisableDescriptions

-fvdl-no-enginedata

從分析結果文件中排除引擎數據。引擎數據包括 Fortify 安全内容信息、命令行選項、系統屬性、警告、錯誤以及有關 Fortify 靜态代碼分析器執行的其他信息。

等效屬性名稱：
com.fortify.sca.FVDLDisableEngineData

-fvdl-no-progdata

從分析結果文件中排除程序數據。這(zhè)將(jiāng)從Fortify Audit Workbench的Functions視圖中删除污點源信息。

等效屬性名稱：
com.fortify.sca.FVDLDisableProgramData

-fvdl-no-snippets

從分析結果文件中排除代碼段。

等效屬性名稱：
com.fortify.sca.FVDLDisableSnippets