源代码扫描工具Fortify SCA与FindBugs的简单对比

最新推荐文章于 2023-11-23 16:03:49 发布
最新推荐文章于 2023-11-23 16:03:49 发布
阅读量1.3k 收藏
点赞数
分类专栏: 技术
原文链接:https://www.colorgg.com
版权 
 

前段时间因为工作原因需要对java源代码进行扫描,现结合使用经验对静态代码扫描工具Fortify SCA与FindBugs进行一个简单的对比。
 

一、Fortify SCA
 

Fortify SCA是由全球领先的软件安全产品解决方案供应商Fortify Software开发,致力于帮助客户在软件开发生命周期中建立安全机制,杜绝软件安全漏洞,避免经济上和声誉上的损失。
 

扫描原理:FortifySCA首先通过调用语言的编译器或者解释器把前端的语言代码(Java、C、C++等源代码)转换成一种中间媒体文件NST(Normal Syntax Trcc),将其源代码之间的调用关系、执行环境、上下文等分析清楚。然后通过匹配所有规则库中的漏洞,若发现存在漏洞就抓取出来,显示在Fortify SCA扫描结果中。
 

风险类型:参考CWE、OWASP
 

是否收费:收费
 

支持语言:Java,JSP,C#,C,C++,PHP,VB.NET,ASP.NET,COBOL,ColdFusion,Transact-SQL,PL/SQL,JavaScript/Ajax,Classic,ASP,VBScript,VB6
 

支持系统:Windows、Linux、Mac OS
 

安装方式:IDE插件(Eclipse、VS、WSAD、RAD)、命令行
 

分析页面:
 

 

 报告格式:PDF
 

二、FindBugs
 

FindBugs是由马里兰大学提供的一款开源静态代码分析软件。
 

扫描原理:Findbugs检查类或者JAR 文件,将字节码与一组缺陷模式进行对比以发现可能的问题。Findbugs自带检测器,其中有60余种Bad practice,80余种Correctness,1种 Internationalization,12种Malicious code vulnerability,27种Multithreaded correctness,23种Performance,43种Dodgy。我们还可以自己配置检查规则(做哪些检查,不做哪些检查),也可以自己来实现独有的校验规则(用户自定义特定的bug模式需要继承它的接口,编写自己的校验类,属于高级技巧)。
 

风险类型:
 

·Bad practice  常见代码错误,用于静态代码检查时进行缺陷模式匹配
 

·Correctness   可能导致错误的代码,如空指针引用等
 

·Dodgy code     糟糕的代码
 

·Experimental  实验
 

·Internationalization  国际化相关问题
 

·Malicious code vulnerility 恶意的代码漏洞
 

·Multithreaded correctness 多线程问题
 

·Performance  性能问题
 

是否收费:免费
 

支持语言:Java
 

使用方式:IDE插件(Eclipse、NetBeans、Intellij IEDA)、GUI
 

支持系统:Windows、Linux
 

分析页面:
 

 

报告格式:XML
 

 
 

使用Fortify SCA与FindBugs扫描同一份源代码结果差异较大。两个工具所针对的威胁类型(可参见上文风险类型项)不同,可结合起来使用,有助于更多地发现源代码问题。
 

 

                

        

        

    

  


    

      

        

            

              
                
                  深蓝旭
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
Fortify免费安装使用教程

				
			

			

				

					AI
				

				

					04-30
					
					2656
					
				

			

		

		

			
				
Fortify 能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。为实现高效安全监测,Fortify具有源代码安全分析,可精准定位漏洞产生的路径,以及具有1分钟1万行的扫描速度。

			
		

	



                

              
                



	

		

			

				
					
源代码扫描工具】 -fortify SCA原理简介

				
			

			

				

					zhaizhai的博客
				

				

					06-29
					
					4314
					
				

			

		

		

			
				
1-Fortify SCAFortify Source Code Analysis)是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的...

			
		

	



                


  
              

                


	

		

			

				
					
Fortify SCA分析代码漏洞1

				
			

			

				

					muyunyu1的专栏
				

				

					07-09
					
					2250
					
				

			

		

		

			
				
Fortify SCA分析代码漏洞

  上次介绍了用FindBugs辅助分析代码漏洞,这次换了一个工具Fortify SCA Demo 4.0.0。Fortify是一个在安全方面挺出名的公司,这里就不多说了。先介绍一下主角:Fortify SCA Demo 4.0.0,虽然现在不知道Fortify SCA的版本是多少,但可以肯定的是,Fortify SCA Demo 4.0.0是一个比较

			
		

	





	

		

			

				
					
源码扫描工具Fortify SCA和FireLine对比说明

				
			

			

				

					toto1222的专栏
				

				

					07-19
					
					2806
					
				

			

		

		

			
				
一、Fortify SCA

1.1软件简介

Fortify SCA是目前业界最为全面的源代码白盒安全测试工具,它能精确定位到代码级的安全问题,完全自动化的完成测试,最广泛的安全漏洞规则,多维度的分析源代码的安全问题。由于它是一款商业软件,这里只找到了一个早起的版本(V5.1)进行测试。

Fortify SCA主要的特性和优点如下:

1、业务最完整的静态代码分析器,以最大和最全面的安全编码规...

			
		

	



		

			
		



	

		

			

				
					
几款Java源码扫描工具(FindBugs、PMD、SonarQube、Fortify、WebInspect)

					
最新发布

				
			

			

				

					没刮胡子的程序员专栏
				

				

					11-23
					
					8244
					
				

			

		

		

			
				
几款Java源码扫描工具FindBugs、PMD、SonarQube、Fortify、WebInspect

			
		

	





	

		

			

				
					
SCA软件成分分析 简析(一)

				
			

			

				

					MingXS2021的博客
				

				

					02-10
					
					1481
					
				

			

		

		

			
				
软件成分分析是一种对二进制软件的组成部分进行识别、分析和追踪的技术。

			
		

	





	

		

			

				
					
Fortify SCA 分析代码漏洞全解

				
			

			

				

					何哲江的专栏
				

				

					06-06
					
					7854
					
				

			

		

		

			
				
上次介绍了用FindBugs辅助分析代码漏洞,这次换了一个工具Fortify SCA Demo 4.0.0。Fortify是一个在安全方面挺出名的公司,这里就不多说了。先介绍一下主角:Fortify SCA Demo 4.0.0,虽然现在不知道Fortify SCA的版本是多少,但可以肯定的是,Fortify SCA Demo 4.0.0是一个比较旧的Fortify SCA分析器了,并且还是De

			
		

	





	

		

			

				
					
静态代码分析工具

				
			

			

				

					star的博客
				

				

					09-20
					
					1813
					
				

			

		

		

			
				
三款主流静态源代码安全检测工具比较
Fortify SCA(Source Code Analysis)
Fortify Software公司是一家总部位于美国硅谷,致力于提供应用软件安全开发工具和管理方案的厂商。Fortify为应用软件开发组织、安全审计人员和应用 安全管理人员提供工具并确立最佳的应用软件安全实践和策略,帮助他们在软件开发生命周期中花最少的时间和成本去识别和修复软件源代码中的安全隐...

			
		

	





	

		

			

				
					
软件源代码安全测试系统可行性分析报告.doc

				
			

			

				

					07-06
				

			

		

		

			
				
尽管已有如Soot、PC-Lint、Fortify SCAFindBugs等静态分析工具,但人工代码审查和动态监测仍有其局限性,无法满足大规模软件项目的高效安全检测需求。而随着软件行业的快速发展,市场对高质量、安全可靠的软件产品...

			
		

	





	

		

			

				
					
Fortify-SCA-扫描工具指导手册.pdf

				
			

			

				

					09-06
				

			

		

		

			
				
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。
Fortify SCA分析原理
Front-End
3rd party IDE
Java
Pug-In
C/C++
MicrOsoL
NET
IBM.eclipse
Audit workbench
PLSQL
XML
Analysis Engine
Semantic
fdi/ fpr
Gobal Data flow
N Control Flow
Configuration
Structural
Fortify Manager
NST
Rules builder
Custom
Pre-Packaged
FORTIFY

Fortify SCA分析过程
SCA Engine
Intermediate
Scan phase
fles
Using Analyzers
Tt
transation
(NST)
.Rules
Analysis
Result
File
-b build id
阶段一:转换阶段( Translation)
阶段二:分析阶段(Scan
o sourceanalyzer-b <build-id>-clean
o sourceanalyzer -b <build-id>
sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr
FORTIFY

Fortify SCA扫描的工作
Visual studio
Eclipse, IBM RAD
面 Audit
Workbench
Java,. Net
Fortify Global
Build Tool
C, C/C++
Analysis
JSP
Touchless Build
Fortify
PL/SQL
IDE
Intermediate
FPR
TSOL
Model
Cold
Command
Line Interface
Fusion
运己
Fortify
I m Manager
Secure Coding Rules
Fortify Customized
Rules
Rules
FORTIFY

Fortify SCA扫描的五种方式
插件方式:
Plug-In(Eclipse, vs WsAd,rad)
命令行方式
Command line
●扫描目录方式: Audit workbench scan Folder
与其他工具集成: Scan with ANt, Makefile
●编译监控器方式: Fortify SCA Build Monitor
FORTIFY

Fortify SCA扫描的四个步骤
Fortify SCA扫描总共可以分为四个步骤:
●1. Clean:清除阶段:
sourceanalyzer -b proName -clean
2. Translation:转换阶段
3.ShoW-fe:查看阶段
sourceanalyzer -b proName -show-files
4.scan:扫描阶段
sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr
FORTIFY

Fortify SCA命令行参数说明
查看SCA扫描命令及参数→> sourceanalyzer
ca\ C:\VIRDoS\syste32\cd. exe
川 icrosoft Windows XP[版不5.1268g
Kc版权所有1985-2 061 Microsoft Gorp
:Documents and settings anming >sourceanalyzer --he lp
Fortify Source Code Analyze4..日.回153
Copyright (c>2003-2006 Fortify Software
Usage
Bu⊥1d
Java: sourceanalyzer -b <buildid> <files>
sourceanalyzer -b <buildid> javac <compiler opts> <files>
G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files>
NET: sourceanalyzer -b <buildin> <exe file>
scan〓
sourceanalyzer -b <buildid> -scan -f results. fpr
Output opt ions
-format <fmt>
Controls the output format. Valid options are
auto, fpr. fvdl, and text. Default is auto
for which type will be determined automatically
based on file extension
一£<fi1e>
The file to which results are written
Default is stdout
build-pro ject <name>
The name of the project being scanned. Will
be inc luded in the output
bu⊥1d-1abe1<labe1>
The1abe1 of the project being scanned.W主工1
be inc luded in the output
build-version <version> The version of the project being scanned. wil1RTIFY.
e
uale
OFTWARE

Fortify SCA转换源代码
转换Java代码
Java程序命令行语法
JaVa命令行语法例子
转换J2EE应用程序
使用 Find bugs
转换NET源代码
o. NET Versions 1.1 and 2.0
Visual studio. net version 2003
o Visual studio.net version 2005
转换CC++代码
●转换 PL/SQLITSQL
FORTIFY

SCA转换JAVA源代码命令
sourceanalyzer -b <build-id> -cp <classpath> <file-list>
●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron
-appserver-home
Table 1: File specifiers
File specifier
Description
darna盈e
All files found under the named directory or any subdirectories
dx己盈e/古古
Any file named Example. java found under the named
Example java
directory or any subdirectories
dx22盈e/,ava
Any file with the extension. j ava found in the named
directory
dxna盈e吉/古,java
Any file wth the extension j ava found under the named
directory or any subdirectories
d工22a盈e/方/吉
All files found under the named directory or ary subdirectories
(same as dirname
FORTIFY

			
		

	





	

		

			

				
					
中文版-FindBugs规则整理

				
			

			

				

					05-07
				

			

		

		

			
				
中文版-FindBugs规则整理_ 支持规则大约有300个左右;

			
		

	





	

		

			

				
					
静态代码检测工具

				
			

			

				

					09-01
				

			

		

		

			
				
- **HP Fortify Static Code Analyzer (SCA)**:这是一种静态代码分析器,能够深入分析源代码,识别可能的安全漏洞。 - **HP Fortify Program Trace Analyzer (PTA)**:该工具通过追踪程序执行路径来发现潜在的安全...

			
		

	





	

		

			

				
					
软件源代码安全测试系统可行性方案分析报告文书.doc

				
			

			

				

					10-12
				

			

		

		

			
				
- **国外研究成果**:国外在静态分析领域取得了显著进展,并开发了多种高效工具,如Soot、PC-Lint、logiscope、Fortify SCAFindBugs等。  #### 三、项目实施内容及方案  - **总体思路**:基于当前软件安全测试的...

			
		

	





	

		

			

				
					
Fortify SCA快速入门以及常见问题解决方法

					
热门推荐

				
			

			

				

					一个测试工程师的代码世界
				

				

					10-15
					
					5万+
					
				

			

		

		

			
				
本篇将透过HP_Fortify_SCA_and_Apps_3.80从实用主义的角度入手,使读者能够快速的对该工具进行使用和对一些可能出现的常见问题进行处理,从而完成一个完整流程的源代码安全性静态扫描测试。快速入门
规则库导入: 
所有的扫描都是基于规则库进行的,因此,建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\Cor

			
		

	





	

		

			

				
					
代码安全审计工具推荐

				
			

			

				

					煜铭2011
				

				

					05-07
					
					1万+
					
				

			

		

		

			
				
0×00  简介企业安全规划建设过程中,往往会涉及到开发的代码安全,而更多可以实现落地的是源代码安全审计中,使用自动化工具代替人工漏洞挖掘,并且可以交付给研发人员直接进行安全自查,同时也更符合SDL的原则,此外可以显著提高审计工作的效率。0×01 代码安全审计概述以下链接为当前比较热门的代码审计推荐文章,门类齐全,点评到位,很值得参考。http://www.freebuf.com/sec...

			
		

	





	

		

			

				
					
Fortify允许用户在其浏览器中生成X.509证书

				
			

			

				

					TrustAsia的博客
				

				

					07-19
					
					506
					
				

			

		

		

			
				


Fortify是由证书颁发机构通过CA安全委员会赞助的开源应用程序,现在可用于Windows和Mac。 Fortify应用程序可供所有用户免费使用,可将用户的Web浏览器连接到用户本地计算机上的智能卡,安全令牌和证书。 这可以允许用户在其浏览器中生成X.509证书,从而取代了对已弃用的&lt;keygen&gt;功能的需求。

在浏览器中生成证书

Web Cryptography API(也...

			
		

	





	

		

			

				
					
自动化代码审计工具

				
			

			

				

					weixin_30756499的博客
				

				

					07-14
					
					3430
					
				

			

		

		

			
				
三款自动化代码审计工具



0×01 简介
工欲善其事,必先利其器。
在源代码的静态安全审计中,使用自动化工具代替人工漏洞挖掘,可以显著提高审计工作的效率。学会利用自动化代码审计工具,是每一个代码审计人员必备的能力。在学习PHP源代码审计的过程中,本人搜集使用了多款自动化工具。本文将简要介绍其中三款比较实用的工具:RIPS、VCG、Fortify SCA。
RIPS是一款开...

			
		

	





	

		

			

				
					
Fortify自定义规则笔记(一)

				
			

			

				

					liweibin812的博客
				

				

					02-14
					
					1万+
					
				

			

		

		

			
				
一. Fortify SCA 自定义规则介绍

Fortify是一款强大的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分强悍,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。其次fortify SCA 团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强Fortify SCA的漏洞识别能力,同时经过自定义规则,也可以降低误报,使得...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值