代码审计工具Fortify基本使用

最新推荐文章于 2024-07-21 23:10:17 发布
最新推荐文章于 2024-07-21 23:10:17 发布
阅读量1.8k 收藏 3
点赞数
文章标签: 代码复审
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/3moods/article/details/131669049
版权

最近接触到一款代码审计的工具 — Fortify SCA and Applications 22.2.0,现就其基本使用做一简单介绍!

Fortify是一个应用安全测试软件,是Micro Focus旗下AST(应用程序安全测试)产品。
Fortify能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能,包括静态代码分析器(SAST)、动态应用安全测试软件(DAST)、软件安全中心(SSC)和实时应用程序自我保护(RASP)。
Fortify具有以下特点:

  • 源代码安全分析,精准定位漏洞产生的路径。
  • 具有1分钟1万行的扫描速度。
  • 启发式扫描,探索应用程序中的潜在风险。
  • 云端支持,提供更加智能的代码分析服务。

工具安装与简单配置

工具在Windows系统上安装非常简单,不停的点击“下一步”即可完成。安装完成后,创建的程序组包括4个快捷方式,如下图所示:

程序组

  • Audit Workbench:审计工作台
  • Custom Rules Editor:自定义规则编辑器
  • Fortify Software Documentation:在线文档
  • Scan Wizard:扫描向导

升级中文规则库

打开Audit Workbench,点击菜单“Options–>Options…”,

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2VmqGd5C-1689080012777)(https://cdn.staticaly.com/gh/soft1314/picx-images-hosting@master/20230711/中文规则.2le2isgqopu0.webp)]

1.点击“Security Content Management”,在“Update Security Content from Server”区的Locale中选择“Simplified Chinese”,点击“Update”按钮,完成后如下图所示:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Fmusl3AF-1689080012778)(https://cdn.staticaly.com/gh/soft1314/picx-images-hosting@master/20230711/中文规则1.4xfa0fy556k0.webp)]

如果受license限制,无法升级到最新的规则库,那么可行的方法就是通过其他渠道获取一个最新的中文规则库,手工对 ExternalMetadata 及 rules 两个文件夹的文件进行替换。
目录位置:

C:\Program Files\Fortify\Fortify_SCA_and_Apps_22.2.0\Core\config

代码扫描

Fortify支持很多语言扫描,其中对Java支持最好,操作简单。

  • 启动 Audit Workbench

扫描

  • 点击“Scan Java Project…”,选定Java项目文件夹,

JDK版本

  • 选定JDK版本

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pqu6jZqe-1689080012780)(https://cdn.staticaly.com/gh/soft1314/picx-images-hosting@master/20230711/scan.2h1bcpfhmqw0.webp)]

  • 确定扫描参数,点击“Scan”开始代码扫描。

审计结果

扫描结束后,结果自动导入到 Audit Workbench,扫描出的问题分为4个等级:

  • Critical:严重
  • Hign:高
  • Medium:中
  • Low:低

对于每一个问题,可以在Audit区域进行审计操作,Analysis分为:

  • Not an Issue:误报
  • Reliability Issue:可靠性问题
  • Bad Practice:不良行为
  • Suspicious:可疑的
  • Exploitable:可利用的

可以查看问题的详细说明以及处理建议,也可以导出PDF或XML格式的报告。如下图所示:

结果审计

以上就是代码审计工具Fortify的基本用法。

本文到此结束,感谢您的观看!!!

超然楼
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql监控 代码审计_代码审计fortify工具
weixin_42502933的博客
02-08 343
1.去下载装安装cms官网地址自行猜测,自行下载。主讲思路过程,任意一套系统都可。2.安装过程简单分析是否有漏洞不做安装分析,很多都程序都会删掉安装包,有兴趣的可以搞一下,这里略过。3.安装完成后,访问首页,分析路由i.index.php定义了NoDb常量,,,mark下,现在还不知道有啥用加载了全局配置文件config.php定义了路由的方法ii.config.php定义了些许的常量包含了fun...
代码审计工具Fortify SCA 20.1.1 下载
12-21
Fortify SCA 20.1.1 是一款强大的代码审计工具,专为开发者和安全团队设计,用于静态代码分析。这款工具的核心功能是检查源代码中的潜在安全漏洞,帮助开发人员在编码阶段就能发现并修复问题,从而提高软件的安全性...
代码审查工具Fortify
汪敏的博客
10-13 626
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。安全编码规则中的规则分析受支持语言的核心和扩展的API包中的函数,并将分析结果记录在Fortify SCA中。每一个问题的解释包含了对问题的描述和建议的解决方案,一边更好的解决程序中的漏洞和缺陷。
代码审计Fortify SCA 代码审计神器.
网络安全领域___专研者.
06-02 1241
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。Fortify 支持多种编程语言,包括 Java、C/C++、C#、PHP、JavaScript 等。
代码审计篇】 代码审计工具Fortify基本用法详解
热门推荐
做自己喜欢的事,并将其发挥到极致!
02-08 1万+
Fortify全名叫Fortify SCA ,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款Web漏洞扫描器,叫做 Webinspect。美国的Fortify、Coverity、Codesecure、IBM AppScan Source 以色列的Checkmarx、加拿大的Klockwork是现在国际上比较出名的几款代码审计工具,那么接下来就Fortify来介绍一下使用方法。
第37篇:fortify代码审计工具使用技巧(1)-审计java代码过程
ABC_123的博客
12-19 2897
Part1 前言在正式文章之前,插播一下:恭喜梅西圆梦,获得世界杯冠军,加冕球王,一场精彩绝伦的球赛。开心之后,还是要静下心学习的,我们也要继续努力。Fortify全名叫Fortify SCA,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款很厉害的Web漏洞扫描器叫Webinspect。美国的Fortify、美国的Coverity、美国的Codesecure、美国的IBM...
JAVA代码审计SAST工具使用与漏洞特征
道阻且长,行则将至。
03-04 1183
本文来学习、总结下业界常见的 Java 语言代码审计工具使用,同时通过检验工具的漏洞扫描结果学习下常见漏洞的代码特征,毕竟只有多看看漏洞所在的缺陷代码,才能避免实战中与漏洞“碰面”了却“互不相识”。
聚合型代码审计工具QingScan使用实践
汤青松博客
01-09 2442
一、简介 笔者最近看到很多公众号在推荐QingScan这款扫描器平台,也好奇了起来,花了半小时将QingScan搭建了起来; 搭建起来之后,进入控制台中看了下QingScan的功能列表,发现除了公众号介绍的黑盒扫描功能外其实还有不少功能,我比较喜欢的是里面的白盒审计功能,里面集成了fortify、semgrep、河马webshell、kunlun-m、sonarqube、PHP依赖、Python依赖、java依赖的扫描工具,所以写下这篇文章跟大家分享一下~ 二、功能概览 我安装好QingScan后,进入Qi
CodeQL自动化代码审计工具
weixin_50464560的博客
08-19 9107
为什么要写这篇文章?自从Github宣布推出CodeQL,国外越来越多安全人员使用这个项目做代码安全评估工作,截止到此刻,CodeQL在Github上已经有超过3100个Star。但是国内了解CodeQL的安全人员并不多,能google到的关于codeql的中文文章比较少。大部分中文文章,都是介绍CodeQL是什么之后,用简单的代码片段说明CodeQL的某个功能,很少有非常全面的介绍使用CodeQL对一个项目做漏洞分析的文章。这让想学习的读者一头雾水,还是不知道该如何在自己的项目上使用CodeQL。所以我想
PHP代码审计18—PHP代码审计小结
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-25 2788
阶段性小结
java代码审计思维导图_SDL中fortify 代码审计各种坑和处理办法
weixin_39898011的博客
02-28 644
fortify扫描代码的前置问题:1)在使用foritfy的过程中很多人会发现他在windows下默认使用gbk访问代码以及生成报告,这样会有好多乱码,其实解决方案很简单。添加环境变量 JAVA_TOOL_OPTIONS 这个变量的值为 -Dfile.encoding=UTF-8或者在bin目录下的auditworkbench.cmd 和ScanWizard.cmd 文件中第一个set环...
代码审计神器Fortify - Fortify SCA 20.1.1
12-24
[ 代码审计篇 ] Fortify安装及使用详解(一)Fortify安装并设置语言为中文导出中文报告 Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流...
代码审查工具fortify安全问题解决方法
06-02
代码审查工具Fortify安全问题解决方法 代码审查工具Fortify安全问题解决方法 Fortify是一款代码审查工具,旨在帮助开发者检测和修复代码中的安全问题。在本文中,我们将介绍Fortify扫描出的高中低危问题解决方法,...
代码检测工具Fortify3.4
03-01
Fortify 3.4是一款强大的静态应用程序安全测试(SAST)工具,专用于代码检测,以发现潜在的安全漏洞。在软件开发过程中,尤其是在敏捷开发环境中,确保代码安全变得至关重要。Fortify工具通过深入源代码分析,能够在...
安全测试工具fortify使用指南
03-11
### 安全测试工具Fortify使用指南 #### 一、Fortify简介 Fortify是Micro Focus旗下的应用程序安全测试(Application Security Testing, AST)产品之一,它涵盖了多种安全测试技术和工具,旨在帮助开发者和安全专家...
如何做code review(嵌入式行业)
wu_chaowei的博客
07-21 179
code review的标准体现。
图像识别roid-maste笔记
最新发布
08-03
图像识别roid-maste笔记
有监督学习神经网络的回归拟合——基于matlab红外光谱的汽油辛烷值预测.zip
08-03
有监督学习神经网络的回归拟合——基于matlab红外光谱的汽油辛烷值预测.zip
Fortify SCA指南:详解工具使用与命令解析
本指南深入探讨了Fortify Security Checker (Fortify SCA) 的全面使用方法,包括其源代码扫描原理、流程和具体操作。Fortify SCA 是一种强大的静态代码分析工具,用于检测软件中的安全漏洞和代码质量问题,支持多种...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值