Translation选项

描述

-b 

指定一个build_id. Fortify SCA使用生成 ID 来跟踪作为生成的一部分编译和组合的文件，然后扫描这些文件。

等效属性名称：
com.fortify.sca.BuildID

-disable-language 

指定要从翻译阶段排除的语言的分隔列表。有效的语言值为 abap, actionscript, apex, cfml, cobol, configuration, cpp, dotnet, golang, java, javascript, jsp, kotlin, objc, php, plsql, python, ruby, scala, sql, swift, tsql, typescript, vb.

等效属性名称：
com.fortify.sca.DISabledLanguages

-enable-language 

指定要翻译的语言的冒号分隔列表。有效的语言值为 abap, actionscript, apex, cfml, cobol, configuration, cpp, dotnet, golang, java, javascript, jsp, kotlin, objc, php, plsql, python, ruby, scala, sql, swift, tsql, typescript, vb.

等效属性名称：
com.fortify.sca.EnabledLanguages

-exclude

指定要从翻译中排除的文件。从翻译中排除的文件也不会被扫描。用分号 （Windows） 或冒号（非 Windows）分隔多个文件路径。例如：

sourceanalyzer –cp "**/*.jar" "**/*" -exclude "**/Test/*.java"

此示例排除任何子目录中的所有 Java 文件。

注意： 当您将转换与大多数编译器或生成工具集成时，Fortify 静态代码分析器会转换编译器或生成工具处理的所有源文件，即使此选项指定排除它们。但是，Fortify Static Code Analyzer xcodebuild和MSBuild集成确实支持该选项。exclude

等效属性名称：
com.fortify.sca.exclude

-encoding 

指定源文件编码类型。Fortify静态代码分析器使您能够扫描包含不同编码源文件的项目。要处理多编码项目，必须在翻译阶段指定-encoding选项，此时Fortify静态代码分析器首先读取源代码文件。Fortify静态代码分析器在构建会话中记住此编码，并将其传播到FVDL文件中。

有效的编码名称来自 .java.nio.charset.Charset

通常，如果未指定编码类型，则 Fortify 静态代码分析器将使用构造函数中的编码参数。在少数情况下（例如，使用 ActionScript 解析器），Fortify Static Code Analyzer 默认为编码。file.encodingjava.io.InputStreamReaderUTF-8

等效属性名称：
com.fortify.sca.InputFileEncoding

-nc

如果在编译器命令行之前指定，Fortify 静态代码分析器会转换源文件，但不运行编译器。

-noextension-type 

指定没有文件扩展名的源文件的文件类型。有效的文件类型值为 ABAP, ACTIONSCRIPT, APEX, APEX_OBJECT, APEX_TRIGGER, ARCHIVE, ASPNET, ASP, ASPX, BITCODE, BSP, BYTECODE, CFML, COBOL, CSHARP, DOCKERFILE, GENERIC, GO, HOCON, HTML, INI, JAVA, JAVA_PROPERTIES, JAVASCRIPT, JSP, JSPX, KOTLIN, MSIL, MXML, OBJECT, PHP, PLSQL, PYTHON, RUBY, RUBY_ERB, SCALA, SWIFT, SWC, SWF, TLD, SQL, TSQL, TYPESCRIPT, VB, VB6, VBSCRIPT, VISUAL_FORCE, VUE, XML.

分析选项

描述

-b 

指定build_id在先前的翻译命令中使用。

等效属性名称：
com.fortify.sca.BuildID

-scan

导致Fortify静态代码分析器对指定的生成 ID 执行安全分析。

注意：在同一sourceanalyzer命令中，不要将此选项与-scan-module选项一起使用。

-scan-module

导致Fortify静态代码分析器将指定的生成 ID 作为单独的模块执行安全分析。

注意： 在同一sourceanalyzer命令中，不要将此选项与-scan选项一起使用。

等效属性名称：
com.fortify.sca.ScanScaModule

-include-modules

将以前扫描的库指定为以逗号或冒号分隔的生成 ID 列表中的单独模块，以包含在项目扫描中。

等效属性名称：
com.fortify.sca.IncludeScaModules

-analyzers 

指定要使用冒号或逗号分隔的分析器列表启用的分析器。有效的分析器名称包括缓冲区、内容、配置、控制流、数据流、nullptr、语义和结构。

您可以使用此选项禁用安全要求不需要的分析器。

等效属性名称：
com.fortify.sca.DefaultAnalyzers

-p |
-scan-precision 

使用快速扫描以扫描精度级别扫描项目。扫描精度级别越低，扫描性能越快。有效值为1、2、3和4。

等效属性名称：
com.fortify.sca.PrecisionLevel

-quick

使用该文件快速扫描项目中的关键和高优先级问题，该文件可提供不太深入的分析。默认情况下，fortify-sca-quickscan.properties快速扫描禁用缓冲区分析器和控制流分析器.此外，它还应用了快速视图过滤器组.

等效属性名称：
com.fortify.sca.QuickScanMode

-bin |
-binary-name 

指定要扫描的源文件的子集。扫描中仅包含构建时在命名二进制文件中链接的源文件。可以多次使用此选项来指定在扫描中包含多个二进制文件。

等效属性名称：
com.fortify.sca.BinaryName

-disable-default-rule-type

禁用默认规则包中指定类型的所有规则。您可以多次使用此选项来指定多个规则类型。

参数是 XML 标记减去后缀。例如，用于数据流源规则元素。还可以指定特征规则的特定部分，例如 、 和 。RuleDataflowSourceCharacterization:Control flowCharacterization:IssueCharacterization:Generic

该参数不区分大小写。

-filter 

指定结果筛选器文件。

等效属性名称：
com.fortify.sca.FilterFile

-no-default-issue-rules

禁用默认规则包中直接导致问题的规则。Fortify静态代码分析器仍加载表征函数行为的规则。

注意： 这等效于禁用以下规则类型：数据流接收器、语义、控制流、结构、配置、内容、统计、内部和特征：问题。

等效属性名称：
com.fortify.sca.NoDefaultIssueRules

-no-default-rules

禁用从默认规则包加载规则。Fortify 静态代码分析器处理描述元素和语言库的规则包，但不处理任何规则。

等效属性名称：
com.fortify.sca.NoDefaultRules

-no-default-source-rules

禁用默认规则包中的源规则。

注意： 不会禁用特征源规则。

等效属性名称：
com.fortify.sca.NoDefaultSourceRules

-no-default-sink-rules

禁用sink默认规则包中的规则。

注意： 未禁用特征接收器规则。

等效属性名称：
com.fortify.sca.NoDefaultSinkRules

-project-template 

指定问题模板用于扫描的文件。这仅影响本地计算机上的扫描。如果您上传FPR到 Micro Focus Fortify 软件安全中心，它使用分配给应用程序版本.

等效属性名称：
com.fortify.sca.ProjectTemplate

-rules  | 

指定自定义规则包或目录。您可以多次使用此选项来指定多个Rulepack文件。如果指定了一个目录，Fortify静态代码分析器将包含该目录中扩展名为.bin和.xml的所有文件。

等效属性名称：
com.fortify.sca.RulesFile

输出选项

描述

-f |
-output-file 

指定将分析结果写入的文件。如果未指定输出文件，Fortify 静态代码分析器会将输出写入终端。

等效属性名称：
com.fortify.sca.ResultsFile

-format 

控制输出格式。有效选项包括fpr、fvdl、 fvdl.zip、text和auto。默认值为auto，它根据-f选项提供的文件的文件扩展名选择输出格式。

这FVDL是一个 XML 文件，其中包含详细的强化静态代码分析器分析结果。这包括脆弱性详细信息、规则说明、代码片段、扫描中使用的命令行选项以及任何扫描错误或警告。

这FPR是分析结果的包，其中包括 FVDL 文件以及额外的信息，例如扫描中使用的源代码的副本，外部元数据和自定义规则（如适用）。Micro Focus Fortify Audit Workbench 会自动与.fpr文件扩展名关联。

注意： 如果使用结果认证，则必须指定fpr格式。请参阅 Micro Focus Fortify 审核工作台用户指南，了解有关结果认证的信息。

您可以防止某些信息包含在 FPR 或 FVDL 文件中，以缩短扫描时间或输出文件大小。

等效属性名称：
com.fortify.sca.Renderer

-append

将结果追加到使用-f选项指定的文件。生成的FPR包含早期扫描的问题以及当前扫描的问题。构建信息和程序数据（源和接收器列表）部分也会合并。要使用此选项，输出文件格式必须为fpr或fvdl。

引擎数据（包括Fortify安全内容信息、命令行选项、系统属性、警告、错误和其他有关Fortify静态代码分析器执行的信息（与所分析程序的信息相反））未合并。由于引擎数据未与-append选项合并，因此Fortify不会验证使用-append生成的结果。

如果未指定此选项，Fortify静态代码分析器会将任何新的结果添加到FPR文件中，并将旧的结果标记为以前的结果。

通常，当无法同时分析整个应用程序时，只能使用-append选项。

等效属性名称：
com.fortify.sca.OutputAppend

-build-label 

指定正在扫描的项目的标签。fortify静态代码分析器不使用此标签，但将其包含在分析结果中。

等效属性名称：
com.fortify.sca.BuildLabel

-build-project 

指定正在扫描的项目的名称。Fortify 静态代码分析器不使用名称，而是将其包含在分析结果中。

等效属性名称：
com.fortify.sca.BuildProject

-build-version 

指定正在扫描的项目的版本。Fortify 静态代码分析器不使用版本，但将其包含在分析结果中。

等效属性名称：
com.fortify.sca.BuildVersion

-disable-source-bundling

从 FPR 文件中排除源文件。

等效属性名称：
com.fortify.sca.FPRDisableSourceBundling

-fvdl-no-descriptions

从分析结果文件中排除Fortify安全内容说明。

等效属性名称：
com.fortify.sca.FVDLDisableDescriptions

-fvdl-no-enginedata

从分析结果文件中排除引擎数据。引擎数据包括 Fortify 安全内容信息、命令行选项、系统属性、警告、错误以及有关 Fortify 静态代码分析器执行的其他信息。

等效属性名称：
com.fortify.sca.FVDLDisableEngineData

-fvdl-no-progdata

从分析结果文件中排除程序数据。这将从Fortify Audit Workbench的Functions视图中删除污点源信息。

等效属性名称：
com.fortify.sca.FVDLDisableProgramData

-fvdl-no-snippets

从分析结果文件中排除代码段。

等效属性名称：
com.fortify.sca.FVDLDisableSnippets