<html><body bgcolor="#FFFFFF"><div>Sure, and AppScan Source also has some support for Spring MVC config files. Those are good steps on the right direction, but still a far cry from what is needed. Yes, there are cases where Fortify/Ounce works ok, but those are rare and very dependent on how the app was coded.</div>
<div><br></div><div>Look at the JPetStore&#39;s O2 analysis scripts, namely how much it took to map the controllers and command classes (and that is a simple app).</div><div><br></div><div>Andre (CCed) I believe that you&#39;re now at Fortify working on Framework support,right? If so, can you share some info on Fortify&#39;s Framework and Spring MVC support? </div>
<div><br>Dinis Cruz</div><div><br>On 23 Oct 2011, at 12:07, &quot;Alvaro Muñoz&quot; &lt;<a href="mailto:alvaro.picapau@gmail.com">alvaro.picapau@gmail.com</a>&gt; wrote:<br><br></div><div></div><blockquote type="cite"><div>
<div>Thats not exactly true. In the case of Fortify, its completly capable to follow data flow in frameworks like spring that use configuration files to define how the data flows. Actually I have use it recently with good results.<br>

<br>Saludos,<div><div>Alvaro</div></div><div><br></div>Sent from my mobile device.  Please excuse my brevity, poor grammar, typos, etc.</div><div><br>El 23/10/2011, a las 01:03, dinis cruz &lt;<a href="mailto:dinis.cruz@owasp.org"><a href="mailto:dinis.cruz@owasp.org">dinis.cruz@owasp.org</a></a>&gt; escribió:<br>

<br></div><div></div><blockquote type="cite"><div><span class="Apple-style-span" style="font-family: arial, sans-serif; font-size: 13px; background-color: rgb(255, 255, 255); "><div>I received this question today, and before I answered it, I was wondering if you guys wanted to have a go at it first: </div>


<div><br></div><div><i>&quot;...I was reading over some of your blog entries, that made me thinks about the current state of SAST regarding the current frameworks.</i></div><div><i>I&#39;ve been aware for a long time that SAST do not handle properly framework-level information. In the case of Spring MVC, the tools just don&#39;t get the data flow, etc.</i></div>


<div><i><br></i></div><div><i>Since you worked at Ounce before, do you know any particular reason why they didn&#39;t want to fo into that direction? I mean, this is a solvable problem (you somewhat show how to do that in O2). Even if they would need to implement new front-ends, this is still a very important task to be done if they wanted to compete directly with Fortify (especially since F. doesn&#39;t get it either)....</i></div>


</span><div><br></div><div>For reference here are some of my previous Framework (i.e.Spring MVC) related posts:</div><div><ul><li><a href="http://diniscruz.blogspot.com/2011/07/current-o2-support-for-analyzing-spring.html">Current O2 support for analyzing Spring MVC</a> </li>


<li><a href="http://diniscruz.blogspot.com/2011/07/what-needs-to-be-done-to-map-static.html">What needs to be done to map Static Analysis Traces from Controllers and Views</a> </li><li><a href="http://o2platform.wordpress.com/category/java/spring-mvc/"><a href="http://o2platform.wordpress.com/category/java/spring-mvc/">http://o2platform.wordpress.com/category/java/spring-mvc/</a></a> (numbers of code samples at O2&#39;s blog)</li>


<li>In this (longish presentation) I also talk about some of the challenges that we have in supporting frameworks:  <a href="http://www.slideshare.net/DinisCruz/owasp-o2-platform-november-2010"><a href="http://www.slideshare.net/DinisCruz/owasp-o2-platform-november-2010">http://www.slideshare.net/DinisCruz/owasp-o2-platform-november-2010</a></a> </li>


</ul></div><div>What do you think?</div><div><br></div>Dinis Cruz<br><br>Blog: <a href="http://diniscruz.blogspot.com"><a href="http://diniscruz.blogspot.com">http://diniscruz.blogspot.com</a></a><br>Twitter: <a href="http://twitter.com/DinisCruz"><a href="http://twitter.com/DinisCruz">http://twitter.com/DinisCruz</a></a><br>


Web: <a href="http://www.owasp.org/index.php/O2"><a href="http://www.owasp.org/index.php/O2">http://www.owasp.org/index.php/O2</a></a><br>
</div></blockquote><blockquote type="cite"><div><span>_______________________________________________</span><br><span>Owasp-o2-platform mailing list</span><br><span><a href="mailto:Owasp-o2-platform@lists.owasp.org"><a href="mailto:Owasp-o2-platform@lists.owasp.org">Owasp-o2-platform@lists.owasp.org</a></a></span><br>

<span><a href="https://lists.owasp.org/mailman/listinfo/owasp-o2-platform"><a href="https://lists.owasp.org/mailman/listinfo/owasp-o2-platform">https://lists.owasp.org/mailman/listinfo/owasp-o2-platform</a></a></span><br>
</div></blockquote>
</div></blockquote></body></html>