Использование Fortify для сканирования источников Java, которые используют аннотации Lombok

Question

Мы используем HP Fortify для сканирования нашего java-кода, и он выдает ошибки, когда не может разрешить методы, сгенерированные аннотациями lombok, такими как @Getter.Кто-нибудь из экспертов Fortify знает, как получить Fortify, чтобы почтить их?

Answer 1

Поскольку SCA работает с исходными файлами, он не может видеть все дополнения, которые lombok добавляет к вашим файлам классов.

Вы можете попробовать использовать Delombok , чтобы получить набор исходных файлов.это включает все, что lombok добавляет в класс, а затем переводит их с помощью SCA.

Или, вы можете перевести файлы классов, сгенерированные lombok, напрямую;SCA поддерживает перевод Java Bytecode.

PS Вам следует обратиться в службу поддержки Fortify и сообщить им, что вам нужна поддержка Lombok;запросы на улучшение отслеживаются по требованию клиента.