Fortify 代码扫描安装使用教程

已于 2022-09-14 17:07:10 修改
阅读量2.9w 收藏 147
点赞数 37
分类专栏: 安全测试 工具 测试 文章标签: 安全 测试工具
于 2021-05-17 18:36:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41648820/article/details/116937035
版权
本文介绍 Fortify SCA 的安装步骤及基本使用方法,涵盖配置环境、扫描源代码等内容,并提供百度网盘下载链接。Fortify SCA 支持多种编程语言、IDE 和构建工具,能检测大量漏洞类别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

    Fortify 能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。为实现高效安全监测,Fortify具有源代码安全分析,可精准定位漏洞产生的路径,以及具有1分钟1万行的扫描速度。
    Fortify SCA 支持丰富的开发环境、语言、平台和框架,可对开发与生产混合环境进行安全检查。 27 种编程语言 超过 911,000 个组件级 API 可检测超过 961 个漏洞类别 支持所有主流平台、构建环境和 IDE

  • 对开发人员友好的语言覆盖范围 – 支持 ABAP/BSP、ActionScript、Apex、ASP.NET、C# (.NET)、C/C++、Classic ASP(含 VBScript)、COBOL、ColdFusion CFML、Go、HTML、Java(包括 Android)、JavaScript/AJAX、JSP、Kotlin、MXML(Flex)、Objective C/C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic 和 XML
  • 支持的 IDE – Eclipse、IntelliJ Ultimate、IntelliJ Community Android Studio、IBM Rational Application Developer、IBM Rational Software Architect、Microsoft Visual Studio
  • 支持的构建工具 – Ant、Jenkins、Maven、MSBuild、Xcodebuild
  • 支持的缺陷管理平台 – Jira、ALM、Bugzilla
  • 支持的代码管理工具 – Git、SVN、TFS
  • 漏洞覆盖范围,包括 1000 多个 SAST 漏洞分类,以确保符合 OWASP Top 10、CWE/SANS Top 25、DISA STIG 和 PCI DSS 等标准。

正文

百度网盘资源,需要自取
链接: https://pan.baidu.com/s/1UsY2Jv7HpMPKLXzHW5YSKA密码: 3qt7
下载好安装包后,双击安装应用程序

点击Next进行下一步
在这里插入图片描述
接受协议,点击Next
在这里插入图片描述
选择安装位置或者默认位置,点击Next
在这里插入图片描述
勾选你要安装的插件,点击Next下一步
在这里插入图片描述
选择\fortify.license,点击下一步
在这里插入图片描述
选择更新服务器,这里可以不用填写
在这里插入图片描述
移除之前版本选择No
在这里插入图片描述
安装实例代码项目选择No
在这里插入图片描述
准备安装,点击Next即可进行安装
在这里插入图片描述
在这里插入图片描述
安装完成后需要把规则库下的文件解压或者复制到安装目录的Core\config下
在这里插入图片描述
在这里插入图片描述
应用程序搜索Scan Wizard,双击Audit Workbench启动
在这里插入图片描述
在这里插入图片描述
点击选择Advanced Scan,选要扫描的源代码
在这里插入图片描述
如果扫的是比较大的一些项目,代码文件比较大,可以选择拆开一个文件夹一个文件夹的去扫,这样也会快一点
在这里插入图片描述
点击Next
在这里插入图片描述
点击configure rulepacks选择要扫描的选项,根据自己的情况而定
在这里插入图片描述
在这里插入图片描述
选择配置内存大小,扫码过程中常见的情况是内存不足导致带不动,可以考虑换台配置高的或者增加虚拟内存大小
在这里插入图片描述
在这里插入图片描述
根据情况而选定
在这里插入图片描述
接下来点击scan即可进行扫描
在这里插入图片描述

扫描完成后,会弹出通知框,可以查看是否存在错误

在这里插入图片描述
点击OK,就可以查看报告了在这里插入图片描述
可以点击选择结果查看问题,会自动定位到有问题的代码位置
在这里插入图片描述
也可以通过属性查看问题详情
在这里插入图片描述
在这里插入图片描述
点击Reports可将报告导出到本地,可选择导出的内容和样式
在这里插入图片描述

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41648820/article/details/116937035
————————————————

代码审计:Fortify SCA 代码审计神器.
网络安全领域___专研者.
06-02 3701
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。Fortify 支持多种编程语言,包括 Java、C/C++、C#、PHP、JavaScript 等。
Fortify代码扫描工具
曰业而安的博客
12-26 1万+
一、Fortify介绍 Fortify是一款强大的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分强悍,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。其次fortify SCA团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强Fortify SCA的漏洞识别能力,同时经过自定义规则,也可以降低误报,使静态分析的准确度和高效性。 默认情况下,Fortify SCA使用安装安全编码规则包来检查源代码,并定义一系列...
Fortify代码扫描 Java提供解决方案支撑
07-09
Fortify问题解决工具
Fority代码审计工具介绍
ghoulvspol的安全生活
01-12 2万+
Fortify SCA简介 Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的提供。 Fortify SCA 产品组件介绍: Fortify SCA是一个产品的套件,它是
Fortify安装与配置
最新发布
m0_74080781的博客
02-21 1065
4、启动失败,提示证书过期 解决方法,在fortify安装目录下找到fortify.license。按图步骤,依次输入对应值,按下回车(default默认值en,图中显示zh_CN是因为我已修改过)重启fortify,点击菜单,进入options设置窗口,按图操作,选择中文语言。7、读取Fortify中的.license文件,点击Next。9、SCA Migration页面选择No,点击Next。5、选择一个安装目录(修改成其他盘),点击Next。6、选择安装的模块,默认即可,点击Next。
fortify使用教程
08-23
Fortify使用简明教程,快速入门,软件测试代码安全性的有效工具
Fortify安装使用
欣欣的博客
12-11 1614
fortify安装安装好之后,将下载的fortify-common-20.1.1.0007.jar包替换掉fortify安装目录下的Core\lib目录下的同名包。其实上面完成就已经是中文了,关键在于第十六步,一定要选择NO,不能让他自动更新规则。重启fortify,选择菜单栏的options,接着选择options。将规则包rules,将文件放入\Core\config\目录下;我们设置了中文语言之后导出的报告就是中文报告。根据如图选择,然后点击ok就设置完成了。查看扫描结果详细信息。
代码审计篇】 代码审计工具Fortify基本用法详解
李火火的安全圈
02-08 1万+
Fortify全名叫Fortify SCA ,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款Web漏洞扫描器,叫做 Webinspect。美国的Fortify、Coverity、Codesecure、IBM AppScan Source 以色列的Checkmarx、加拿大的Klockwork是现在国际上比较出名的几款代码审计工具,那么接下来就Fortify来介绍一下使用方法。
Fortify 安装使用详解(中文版导出设置)
热门推荐
weixin_61240867的博客
07-18 2万+
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。数据量引擎:跟踪、记录并分析程序中的数据传递过程所产生的安全问题。语义引擎:分析过程中不安全的函数,方法的使用安全问题。结构引擎:分析程序上下文环境、结构中的安全问题。
代码审查工具fortify安全问题解决方法
06-02
代码审查工具Fortify安全问题解决方法 代码审查工具Fortify安全问题解决方法 Fortify是一款代码审查工具,旨在帮助开发者检测和修复代码中的安全问题。在本文中,我们将介绍Fortify扫描出的高中低危问题解决方法,...
Fortify SCA 安装使用手册
06-30
Fortify SCA 安装使用手册
Fortify SCA(SourceCodeAnalysis)安装使用手册.docx
12-11
本文档包含Fortify SCA(Source Code Analysis) 安装使用教程,word格式。 特分享给大家
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b <build-id>-clean o sourceanalyzer -b <build-id> sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式 插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明 查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b <buildid> <files> sourceanalyzer -b <buildid> javac <compiler opts> <files> G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files> NET: sourceanalyzer -b <buildin> <exe file> scan〓 sourceanalyzer -b <buildid> -scan -f results. fpr Output opt ions -format <fmt> Controls the output format. Valid options are auto, fpr. fvdl, and text. Default is auto for which type will be determined automatically based on file extension 一£<fi1e> The file to which results are written Default is stdout build-pro ject <name> The name of the project being scanned. Will be inc luded in the output bu⊥1d-1abe1<labe1> The1abe1 of the project being scanned.W主工1 be inc luded in the output build-version <version> The version of the project being scanned. wil1RTIFY. e uale OFTWARE Fortify SCA转换源代码 转换Java代码 Java程序命令行语法 JaVa命令行语法例子 转换J2EE应用程序 使用 Find bugs 转换NET源代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net version 2005 转换CC++代码 ●转换 PL/SQLITSQL FORTIFY SCA转换JAVA源代码命令 sourceanalyzer -b <build-id> -cp <classpath> <file-list> ●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron -appserver-home Table 1: File specifiers File specifier Description darna盈e All files found under the named directory or any subdirectories dx己盈e/古古 Any file named Example. java found under the named Example java directory or any subdirectories dx22盈e/,ava Any file with the extension. j ava found in the named directory dxna盈e吉/古,java Any file wth the extension j ava found under the named directory or any subdirectories d工22a盈e/方/吉 All files found under the named directory or ary subdirectories (same as dirname FORTIFY
代码审计神器Fortify - Fortify SCA 20.1.1
12-24
[ 代码审计篇 ] Fortify安装使用详解(一)Fortify安装并设置语言为中文导出中文报告 Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流...
fortify扫描问题总结
04-07
解决这个问题的方法是编写自定义规则或使用注释来帮助Fortify理解代码的意图。 4. **修复建议不适用**:Fortify提供的修复建议可能并不适用于所有情况。开发者需要根据实际情况评估并选择合适的修复策略。 5. **...
Fortify 安装使用
u012766140的博客
05-06 3261
最近跟源码检测工具干上了,上期写了一篇sonarqube 工具安装步骤,这期继续另一个源码检测工具fortify 安装使用步骤。。提示:以下是本篇文章正文内容,下面案例可供参考fortify也是一款比较流行的源码检测工具,原理是将被检测语言(如JAVA/C/C++/C#源代码)转换成一种中间媒体文件NST(Normal Syntax Tree)再进行检测。fortify支持的检测语言有:1、asp.net2、VB.Net3、c#.Net4、ASP5、VBscript。
Fortify代码扫描问题及修复
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
09-07 1万+
静态代码扫描常见问题及修复 风险类型 原因 Code Correctness: Erroneous String Compare 字符串的对比使用错误方法 Cross-Site Scripting Web浏览器发送非法数据,导致浏览器执行恶意代码 Dead Code: Expression is Always true 表达式的判断总是true Dead Code: Unused Method 没有使用的方法 HTTP Response Splitting 含有未验证的数据
评论 25
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

回忆式~过去.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值