在Qt代码上使用Fortify SCA (不是过时的"HP Fortify")

Question

我已经对此进行了一段时间的研究，我有限的编译经验阻碍了我解决这个问题的能力。

基本上，我有一些用Qt Creator编写的代码，然后使用以下构建步骤进行构建：

qmake.exe [project name].pro -spec win32-msvc "CONFIG+=qtquickcompiler"
jom.exe in C:\eclipseworkspace\[project directory]

我想使用Fortify SCA (静态代码分析器)自动扫描这段代码的漏洞，但它的大多数用户友好特性都是针对Java设计的。然而，我并没有放弃，因为Fortify确实声称能够扫描使用第三方编译器的C++代码(我假设Qt属于这一类)。( this文档的第37页)

作为在我的实际代码上运行Qt Creator的第一步，我想看看是否至少可以让它在任何Qt示例项目上运行，看看要做的步骤是什么。

我在Windows10操作系统上使用MSVC2017 32位编译器的Qt 5.12.7，但我觉得Qt和Fortify之间的任何关联都足以让我朝着正确的方向前进。

或者，也许我的乐观是错误的，我只是不明白我想做的事情的局限性。不管怎样，知道这一点都很好。

Answer 1

我发现这在Linux上是最简单的。我认为这个解决方案适用于Windows。

您必须将源分析器注入到编译器命令中。例如，我运行cmake来配置我的项目。

export CC="sourceanalyzer -b <your_project_name_here> gcc"
export CXX="sourceanalyzer -b <your_project_name_here> g++"
cmake <bunch of my cmake definitions> <path_to_src>
# I do a clean to remove what sourceanalyzer picks up during configuration time tests.
sourceanalyzer -b <your_project_name_here> -clean
sourceanalyzer -b <your_project_name_here> -scan -f scanResults.fpr