Fortify SCA
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。 它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有 的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在 的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的提供。
下载地址
链接:https://pan.baidu.com/s/1O2X8QF6CJcsiRHdlx_SPhg?pwd=gk2y
提取码:gk2y
(此版本有点旧了,可以自己再去找找新的)
下载步骤
点击下一步,同意协议,选择下载目录,下一步
点击下一步,下一步,选择no,再选择yes
剩下一直默认安装
将安装包下的规则库copy到安装路径下的配置文件夹下
简单使用方法
双击运行Windows脚本
进入界面,选择审计代码的代码类型,及选择文件目录
(如果要扫操作系统内核源代码,Linux在/usr/src目录下,Windows并不是公开的所以无法审计内核源代码)
这里我测试我一个jsp的系统设计
点击configure rulepacks选择要扫描的选项,根据自己的情况而定
选择配置内存大小,扫码过程中常见的情况是内存不足导致带不动
接着下一步,看自己需求,选择好就可以点击扫描了
开始扫描