Fortify SCA C#.NET 扫描方法（Visual Studio插件）

最新推荐文章于 2024-08-15 14:33:10 发布

xreztento

最新推荐文章于 2024-08-15 14:33:10 发布

阅读量9.5k

点赞数

本文链接：https://blog.csdn.net/xreztento/article/details/52350185

版权

本文档介绍了如何准备环境，包括安装Visual Studio和Fortify SCA插件，以及如何利用Visual Studio对C#.NET项目进行编译、转换分析和扫描，以确保代码安全。

摘要由CSDN通过智能技术生成

环境准备

安装VisualStudio

这里写图片描述

安装Fortify SCA，并根据版本选择安装插件

这里写图片描述

扫描代码方法

通过VisualStudio对待扫描项目解决方案进行编译和转换分析

sourceanalyzer -b sec_scan -64 -Xmx2048M -Xms2048M -Xss24M "D:\Program Files (x86)\Microsoft Visual Studio 11.0\Common7\IDE\devenv.exe" project.sln

注：根据实际情况配置devenv.exe程序路径
VisualStudio加载解决方案后，使用“Fortify插件”完成编译和转换分析：

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

xreztento

关注关注

0
点赞
踩
6

收藏

觉得还不错? 一键收藏
19
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

Fortify代码扫描工具

曰业而安的博客

12-26

1万+

一、Fortify介绍 Fortify是一款强大的静态代码扫描分析工具，其发现代码漏洞缺陷的能力十分强悍，主要是将代码经过编译，依托于其强大的内置规则库来发现漏洞的。其次fortify SCA团队在开发此商业工具时，也提供了自定义规则的接口，只要经过正版授权后，便可以在此基础上自定义规则，来增强Fortify SCA的漏洞识别能力，同时经过自定义规则，也可以降低误报，使静态分析的准确度和高效性。默认情况下，Fortify SCA使用安装的安全编码规则包来检查源代码，并定义一系列...

c语言fortify扫描报告,fortify代码扫描问题结果分析

weixin_39656853的博客

05-18

996

最近项目的代码使用fortify工具扫描了一下，发现了项目中存在的一些问题，在以后代码编写的过程中要注意，避免出现类似的错误。以下为本次代码分析工具FORTIFY对代码的分析结果。这些问题虽然古老、简单然而经典，也是需要引起重视。代码问题主要集中在如下类别：存在安全隐患、存在资源泄漏隐患、序列化问题、字符串比较、异常处理问题，以及其它一些BAD PRACTICE和粗心引起的问题。J2EE Bad ...

19 条评论您还未登录，请先登录后发表或查看评论

fortify插件

10-18

fortify插件

Fortify扫描.NET项目

软件质量优化

11-01

4603

Fortify扫描.NET项目首先要安装Visual Studio开发环境，

1. Fortify使用破解教程

最新发布

weixin_64803495的博客

08-15

1150

Fortify 是Micro Focus 旗下AST（应用程序安全测试）产品，其产品组合包括： Fortify Static Code Analyzer 提供静态代码分析器（SAST），Fortify WebInspect 是动态应用安全测试软件（DAST），Software Security Center 是软件安全中心（SSC）和 Application Defender 是实时应用程序自我保护（RASP）。点击scan，进行扫描，等待扫描完成。根据设置的路径，找到导出的报告。

静态代码分析工具列表分析---代码分析工具列表（30款工具）

视频质量测试mazhitong1227的博客

09-07

2万+

本文是一个静态代码分析工具的清单，共有30个工具。包括4个.NET工具、2个Ada工具、7个C++工具、4个Java工具、2个JavaScript工具、1个Opa工具、2个Packaging工具、3个Perl工具、1个Python工具、1个嵌入式工具、2个二进制工具、1个静态分析工具 Fortify SCA Fortify SCA 是一个静态的、白

fortify SCA

12-23

fortify SCA白皮书介绍SCA的基本功能和规格

C# 扫描扫描源代码

04-11

C# 扫描扫描源代码支持twain扫描等常用协议扫描支持wia扫描

Fortify-SCA扫描指南

08-01

本指南详细介绍了fortify工具的详细使用过程,以及命令的使用说明

fortify扫描问题总结

04-07

fortify扫描问题总结，系统安全类

C#操作扫描仪.zip

10-18

这是国外的，c#通过WIA操作扫描仪，内含2个工程： 1、KaupischITC.ScanWIA 2、SampleApp 1是自定义的一些类，扩展了WIA的一些方法。 2是winform示例通过示例，可以操作扫描仪相片等。如果想直接通过C#获取数码相机里，所有已经拍好的相片，请下载我写的另一个demo

Fortify-SCA-扫描工具指导手册.pdf

09-06

fortify扫描工具的说明手册，对实际工作有指导作用，讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b <build-id>-clean o sourceanalyzer -b <build-id> sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b <buildid> <files> sourceanalyzer -b <buildid> javac <compiler opts> <files> G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files> NET: sourceanalyzer -b <buildin> <exe file> scan〓 sourceanalyzer -b <buildid> -scan -f results. fpr Output opt ions -format <fmt> Controls the output format. Valid options are auto, fpr. fvdl, and text. Default is auto for which type will be determined automatically based on file extension 一￡<fi1e> The file to which results are written Default is stdout build-pro ject <name> The name of the project being scanned. Will be inc luded in the output bu⊥1d-1abe1<labe1> The1abe1 of the project being scanned.W主工1 be inc luded in the output build-version <version> The version of the project being scanned. wil1RTIFY. e uale OFTWARE Fortify SCA转换源代码转换Java代码 Java程序命令行语法 JaVa命令行语法例子转换J2EE应用程序使用 Find bugs 转换NET源代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net version 2005 转换CC++代码 ●转换 PL/SQLITSQL FORTIFY SCA转换JAVA源代码命令 sourceanalyzer -b <build-id> -cp <classpath> <file-list> ●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron -appserver-home Table 1: File specifiers File specifier Description darna盈e All files found under the named directory or any subdirectories dx己盈e/古古 Any file named Example. java found under the named Example java directory or any subdirectories dx22盈e/,ava Any file with the extension. j ava found in the named directory dxna盈e吉/古,java Any file wth the extension j ava found under the named directory or any subdirectories d工22a盈e/方/吉 All files found under the named directory or ary subdirectories (same as dirname FORTIFY

Fortify SCA（SourceCodeAnalysis）安装及使用手册.docx

12-11

插件可以是 Fortify SCA 提供的官方插件，也可以是用户自己开发的插件。插件可以帮助用户： * 扩展 Fortify SCA 的扫描范围 * 提高 Fortify SCA 的扫描速度 * 自定义 Fortify SCA 的扫描结果扫描指南 Fortify ...

Fortify SCA 19.zip

04-06

4. **集成开发环境（IDE）插件**：与流行的IDE如Eclipse、Visual Studio等无缝集成，使得开发人员可以在编写代码的同时实时查看和修复安全问题。 5. **持续集成/持续部署（CI/CD）支持**：可以与其他CI/CD工具如...

Fortify SCA 安装使用手册

06-30

Fortify SCA 支持多种编程语言，包括但不限于Java、C/C++、C#、VB.NET等主流开发语言。 ##### 2.4 Fortify SCA 的插件为了更好地集成到不同的开发环境中，Fortify SCA 提供了一系列插件支持，包括： - Eclipse -...

Fortify 代码扫描安装使用教程

热门推荐

回忆式~过去.的博客

05-17

2万+

Fortify安装使用简易教程双击安装应用程序点击Next进行下一步接受协议，点击Next 选择安装位置或者默认位置，点击Next 勾选你要安装的插件，点击Next下一步选择\fortify.license，点击下一步选择更新服务器，这里可以不用填写移除之前版本选择NO 安装实例代码项目选择No 准备安装，点击Next即可进行安装安装完成后需要把规则库下的文件解压或者复制到安装目录的Core\config下应用程序搜索Scan Wizard，双击Audit Work

fortify sca常见问题

09-26

Fortify SCA（应用安全代码审查）是一种静态代码分析工具，用于检测软件中的安全漏洞和潜在的代码缺陷。以下是对Fortify SCA常见问题的回答： 1. 为什么要使用Fortify SCA？ Fortify SCA能够在开发过程中自动扫描和标识软件中的安全漏洞，帮助开发团队及时修复风险，保护软件免受攻击。它提供了一种可靠的方式来提高代码质量和安全性。 2. Fortify SCA能够检测哪些安全漏洞？ Fortify SCA可以检测各种安全漏洞，包括但不限于SQL注入、跨站脚本攻击（XSS）、代码注入、安全配置错误、缓冲区溢出等。它基于大量经验和规则库，能够准确地识别潜在的漏洞和弱点。 3. 如何使用Fortify SCA？开发人员可以通过将Fortify SCA集成到他们的集成开发环境中，或者通过命令行方式执行扫描来使用该工具。Fortify SCA将会扫描源代码文件，查找潜在的安全问题，并生成详细的报告。 4. 如何解释Fortify SCA生成的扫描报告？ Fortify SCA生成的扫描报告将列出所有发现的安全漏洞和问题，以及对应的代码位置和风险级别。开发人员应仔细阅读并理解报告中的问题描述和建议，以便及时修复漏洞和加强代码的安全性。 5. 如何解决Fortify SCA报告中的问题？开发团队应根据Fortify SCA报告中的建议，对代码中的漏洞和问题进行修复。修复包括但不限于改正代码逻辑、过滤输入、验证用户输入、遵循安全最佳实践等。总之，Fortify SCA是一款强大的静态代码分析工具，可以帮助开发人员发现和修复安全漏洞和潜在的代码缺陷。通过集成Fortify SCA到开发流程中，可以提高代码的安全性和质量。