Fortify使用手册

已于 2022-04-25 20:52:34 修改
阅读量8.1k 收藏 19
点赞数 12
分类专栏: 网络安全 文章标签: Fortify安装 fortify使用
于 2021-09-06 13:20:32 首次发布
^_^ ^_^ ^_^
本文链接:https://blog.csdn.net/Michael_lcf/article/details/107521006
版权
本文档详细介绍了Fortify的安装步骤,包括如何导入自定义规则、运行扫描及更新规则。针对乱码问题,提供了三种解决方案:单文件编码设置、修改AuditWorkbench默认编码和调整Fortify集成的Eclipse编码。用户可根据需要选择相应方法解决乱码问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Fortify使用手册

链接:https://pan.baidu.com/s/1SQ72fog3HGKBeox4IQAa8w
提取码:ngmi

1. 安装

  • 1.1 解压文件

  • 1.2 双击运行可执行文件

  • 1.3 点击 next

  • 1.4 同意协议,next

  • 1.5 选择安装位置后,点next

  • 1.6 选择许可证文件(压缩包内有)、next

上面这个地址不要改,需要从这个网站下载规则,下面没有特殊需求全部next

  • 1.7 开始安装

  • 1.8 安装完成

  • 1.9 导入自定义规则
    压缩包的rule文件夹内已经有部分规则了,或者我们从网上下载某些规则后要导入的话需要复制到 安装目录下的\Core\config\customrules文件夹内

2. 使用

  • 2.1 安装完成后桌面没有快捷方式的话,点击左下角windows图片输入 au,点击运行即可。

  • 2.2 注意事项

    如果打开后出现弹窗点击按钮后出现错误提示的话

​ 点击确定软件会闪退,这是许可证的问题,使用本文档附的许可证文件或者从网上下载后替换软件安装目录内的许可证文件后,重新打开即可

  • 2.3 替换安装目录的许可证文件后重新打开软件即可

需要注意的是目录为安装目录,不是压缩包解压目录

  • 2.4 选择java项目或者自动识别项目类型,这里以自动识别项目类型举例,点击后选中代码目录。

  • 2.5 选择完目录后首次运行可能会提示是否更新规则包,点击是。

  • 2.6 规则更新完成后会弹出配置本次扫描的弹窗


    无特殊配置的话一路next最后点击扫描,等待扫描完成。

  • 2.7 导出扫描报告

扫描完成后即可查看扫描出的问题,点击tools ->reports -> 即可生成pdf报告

3.更新规则

4. 乱码解决(法1):单文件乱码解决方案

可通过Edit下Set Encoding设置。

4. 乱码解决(法2):修改Audit Workbench默认编码

找到productlaunch.cmd文件(D:\dev\Fortify\Fortify_SCA_and_Apps_20.1.1\Core\private-bin\awb\productlaunch.cmd)在最后这一行末添加-Dfile.encoding=utf-8,以规定其eclipse.exe默认使用utf-8编码。

修改前:

start "Fortify" /B /MIN "%FORTIFY_CORE%\private-bin\awb\eclipse\eclipse.exe" -vm "%JAVA_CMD%" -startup "%FORTIFY_CORE%\lib\awb-startup-20.1.1.0007.jar" -os win32 -ws win32 -arch x86_64 %USER_OPTS% %AWB_ARGS% -vmargs -Xmx2G -XX:-UseCompressedOops %AWB_VM_OPTS% %USER_VM_OPTS% -Dcom.fortify.InstallRoot="%FORTIFY_HOME%" >NUL

修改后:

start "Fortify" /B /MIN "%FORTIFY_CORE%\private-bin\awb\eclipse\eclipse.exe" -vm "%JAVA_CMD%" -startup "%FORTIFY_CORE%\lib\awb-startup-20.1.1.0007.jar" -os win32 -ws win32 -arch x86_64 %USER_OPTS% %AWB_ARGS% -vmargs -Xmx2G -XX:-UseCompressedOops %AWB_VM_OPTS% %USER_VM_OPTS% -Dcom.fortify.InstallRoot="%FORTIFY_HOME% "  -Dfile.encoding=utf-8 >NUL

备注:productlaunch.cmdAudit Workbenchauditworkbench.cmd 文件内可找到。

4. 乱码解决(法3):修改Fortify集成的eclipse默认编码

添加 fortify 的 eclipse 启动参数 -Dfile.encoding=utf-8
D:\dev\Fortify\Fortify_SCA_and_Apps_20.1.1\Core\private-bin\awb\eclipse\eclipse.ini

fortify代码扫描使用教程
weixin_42464155的博客
09-13 6万+
配置信息:HP Fortify SCA and Applications 4.10+WIN7(64位家庭版) 打开fortify的工作台,选择Advanced  Scan(如果你知道源代码是java的可以选择Scan Java,C#可以选择Scan VS,不知道的话就选Advanced Scan) 选择代码文件夹,如果代码文件很大,建议拆开一个文件夹一个文件夹扫描 确定后,弹出通知框...
Fortify用户手册简体中文版_v6.1.zip
02-25
Fortify用户手册简体中文版_v6.1 pdf 使用说明
求助,这个代码,怎么样防止注入
jicha8469的博客
01-01 265
sqlcp="select * from abc where id="&request("ID") Set rscp=Server.CreateObject("ADODB.RecordSet") rscp.open sqlcp,conn,1,3 if rscp.eof then response.write "无效的参数" response.End() end if rscp("hi
Fortify用户手册简体中文版
10-31
Fortify用户手册简体中文版 简要介绍了 Audit Workbench 的特性与功能,并且介绍了 Audit Workbench 的主要组成部分。 其中包含以下主题: • Source Code Analysis 阶段概述 • 安全编码规则包概述
Fortify安装与配置
最新发布
m0_74080781的博客
02-21 1089
4、启动失败,提示证书过期 解决方法,在fortify安装目录下找到fortify.license。按图步骤,依次输入对应值,按下回车(default默认值en,图中显示zh_CN是因为我已修改过)重启fortify,点击菜单,进入options设置窗口,按图操作,选择中文语言。7、读取Fortify中的.license文件,点击Next。9、SCA Migration页面选择No,点击Next。5、选择一个安装目录(修改成其他盘),点击Next。6、选择安装的模块,默认即可,点击Next。
fortify使用教程
08-23
Fortify使用简明教程,快速入门,软件测试代码安全性的有效工具。
Fortify解决方案手册(中文版).zip
06-16
Fortify,瑞云等扫描代码所出现的漏洞的解决方案。包含了常规的漏洞解决方案,共244页。描述内容均为中文版
Fortify 安装使用详解(中文版导出设置)
热门推荐
weixin_61240867的博客
07-18 2万+
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。数据量引擎:跟踪、记录并分析程序中的数据传递过程所产生的安全问题。语义引擎:分析过程中不安全的函数,方法的使用的安全问题。结构引擎:分析程序上下文环境、结构中的安全问题。
Fortify 安装使用
u012766140的博客
05-06 3267
最近跟源码检测工具干上了,上期写了一篇sonarqube 工具的安装步骤,这期继续另一个源码检测工具fortify 安装使用步骤。。提示:以下是本篇文章正文内容,下面案例可供参考fortify也是一款比较流行的源码检测工具,原理是将被检测语言(如JAVA/C/C++/C#源代码)转换成一种中间媒体文件NST(Normal Syntax Tree)再进行检测。fortify支持的检测语言有:1、asp.net2、VB.Net3、c#.Net4、ASP5、VBscript。
Fortify安装使用基础
Salois的博客
12-22 4123
找到com.fortify.sca.DefaultFileTypes这行,把导致进度卡住的文件类型删除(如js,jsx,htm,html)这样默认是不会扫该类文件。扫描时如果长时间卡在某个进度上,可根据导致卡住的文件类型进行判断,一般情况是因为js、jsx、htm、html之类的文件导致。按图步骤,依次输入对应值,按下回车(default默认值en,图中显示zh_CN是因为我已修改过)重启fortify,点击菜单,进入options设置窗口,按图操作,选择中文语言。选择静态代码所在目录,进行扫描。
FortifySCA用户使用手册
11-08
欢迎学习啊。
安全测试工具fortify使用指南
03-11
安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具fortify使用指南安全测试工具f
Fortify SCA 安装使用手册
06-30
Fortify SCA 安装使用手册
Fortify解决方案手册.docx
04-23
Fortify解决方案手册.docx
代码审计工具-Fortify详细介绍和使用
ffffffuk的博客
09-16 1万+
Fortify SCA详细 1.1 Fortify SCA概述 1、Source Code Analysis 阶段概述 Audit Workbench 会启动 Fortify SCA“Scanning(扫描)”向导来扫描和分析源代码。该向导整合了以下几个分析阶段: 转换:使用源代码创建中间文件,源代码与一个 Build ID相关联,Build ID通常就是项目名称。 扫描与分析:扫描中间文件,分析代码,并将结果写入一个Fortify Project Results(FPR)文件。 校验:确保所有源文件均包含
Fortify安装使用
欣欣的博客
12-11 1621
fortify安装安装好之后,将下载的fortify-common-20.1.1.0007.jar包替换掉fortify安装目录下的Core\lib目录下的同名包。其实上面完成就已经是中文了,关键在于第十六步,一定要选择NO,不能让他自动更新规则。重启fortify,选择菜单栏的options,接着选择options。将规则包rules,将文件放入\Core\config\目录下;我们设置了中文语言之后导出报告就是中文报告。根据如图选择,然后点击ok就设置完成了。查看扫描结果详细信息。
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b <build-id>-clean o sourceanalyzer -b <build-id> sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式 插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明 查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b <buildid> <files> sourceanalyzer -b <buildid> javac <compiler opts> <files> G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files> NET: sourceanalyzer -b <buildin> <exe file> scan〓 sourceanalyzer -b <buildid> -scan -f results. fpr Output opt ions -format <fmt> Controls the output format. Valid options are auto, fpr. fvdl, and text. Default is auto for which type will be determined automatically based on file extension 一£<fi1e> The file to which results are written Default is stdout build-pro ject <name> The name of the project being scanned. Will be inc luded in the output bu⊥1d-1abe1<labe1> The1abe1 of the project being scanned.W主工1 be inc luded in the output build-version <version> The version of the project being scanned. wil1RTIFY. e uale OFTWARE Fortify SCA转换源代码 转换Java代码 Java程序命令行语法 JaVa命令行语法例子 转换J2EE应用程序 使用 Find bugs 转换NET源代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net version 2005 转换CC++代码 ●转换 PL/SQLITSQL FORTIFY SCA转换JAVA源代码命令 sourceanalyzer -b <build-id> -cp <classpath> <file-list> ●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron -appserver-home Table 1: File specifiers File specifier Description darna盈e All files found under the named directory or any subdirectories dx己盈e/古古 Any file named Example. java found under the named Example java directory or any subdirectories dx22盈e/,ava Any file with the extension. j ava found in the named directory dxna盈e吉/古,java Any file wth the extension j ava found under the named directory or any subdirectories d工22a盈e/方/吉 All files found under the named directory or ary subdirectories (same as dirname FORTIFY
fortify sca使用手册
01-17
Fortify SCA使用手册》是一本介绍如何使用Fortify SCA(静态代码扫描工具)的手册。Fortify SCA是一种用于识别和修复软件代码中漏洞和安全隐患的工具。这本手册旨在帮助开发人员了解如何正确地使用Fortify SCA来提高软件安全性。 手册首先介绍了Fortify SCA的基本原理和工作流程。它解释了代码扫描的过程,包括如何配置扫描规则、扫描参数和扫描范围等。通过从源代码中提取语义和构建数据流图,Fortify SCA可以分析代码中的潜在漏洞和安全风险。 接下来,手册详细介绍了Fortify SCA的功能和工具。它解释了如何使用Fortify SCA的界面来管理和执行扫描任务,包括如何创建项目、导入代码、配置扫描规则等。此外,手册还提供了关于如何解读扫描结果和报告的指导,以及如何通过查看漏洞详情和代码路径来定位和修复问题。 此外,手册还包括一些使用Fortify SCA的最佳实践和建议。它强调了需在开发过程中进行持续扫描和自动化集成,以便及早发现和修复安全漏洞。手册还提供了一些常见漏洞类型的示例和建议,以帮助开发人员更好地理解Fortify SCA的扫描结果,并采取适当的修复措施。 总之,《Fortify SCA使用手册》是一本全面而详细的指导手册,旨在帮助开发人员学会如何正确地使用Fortify SCA来提高软件安全性。通过充分理解和应用手册中的指导,开发人员可以更好地利用Fortify SCA的功能,确保软件代码的安全性和可靠性。
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值