1、Fortify简介
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。
2、Fortify原理
首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree),将其源代码之间的调用关系,执行环境,上下文等分析清楚。
通过分析不同类型问题的静态分析引警分析NST文件,同时匹配所有规则库中的漏洞特征,将漏洞抓取出来,然后形成包含详细漏洞信息的FPR结果文件,用AWB打开查看。
3、Fortify SCA引擎介绍:
数据量引擎:跟踪、记录并分析程序中的数据传递过程所产生的安全问题语义引擎:分析过程中不安全的函数,方法的使用的安全问题。结构引擎:分析程序上下文环境、结构中的安全问题控制流引擎:分析程序特定时间、状态下执行操作指令的安全问题配置引擎:分析项目配置中的敏感信息和配置确实的安全问题。
4、Fortify支持语言
FortifySCA支持的21语言,分别是
1、asp.net
2、VB.Net
3、c#.Net
4、ASP
5、VBscript
6、VS6
7、java
8、JSP
9、javascript
10、HTML
11、XML
12、C/C++
13、PHP
14、T-SQL
15、PL/SQL
16、Action script
17、0bject-c(iphone-2012/5)
18、ColdFusion5.0-选购
19、python -选购
20、COBOL-选购
21、SAP-ABAP -选购
5.安装Fortify
下载压缩包后 打开 Fortify_SCA and Apps 22.2.2\bin\auditworkbench.cmd 即可运行该软件
设置中文格式
6.扫描源码
默认是扫描java代码
设置完成后自动扫描
7.报告输出
扫一扫
1246
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
