一、Fortify SCA
1.1软件简介
Fortify SCA是目前业界最为全面的源代码白盒安全测试工具,它能精确定位到代码级的安全问题,完全自动化的完成测试,最广泛的安全漏洞规则,多维度的分析源代码的安全问题。由于它是一款商业软件,这里只找到了一个早起的版本(V5.1)进行测试。
Fortify SCA主要的特性和优点如下:
1、业务最完整的静态代码分析器,以最大和最全面的安全编码规则为基础,而且这些规则可以不断地进行更新,以适应新的软件安全漏洞。
2、跨层跨语言地分析代码的漏洞产生,目前支持所有的主流开发语言。
3、在确认安全漏洞上有十分高的准确性。
4、可以精确地定位漏洞产生的全路径,方便开发人员对漏洞进行修复。
5、支持多种软件开发平台。
1.2在windows上安装
1、双击安装包中的exe即可安装。
2、选择Fortify提供的授权文件所在路径(即fortify.license),点击‘NEXT’按钮。
3、选择相应的安装路径,点击‘NEXT’按钮。
4、选择相应的组件进行安装,在此处请注意,fortify默认不安装IDE插件,如果需要安装相应的IDE插件,如图所示:在此处我选择了基于eclipse3.x,VS2005的插件(选择安装VS的插件之前,得首先安装VS的IDE),然后点击‘NEXT’按钮。
5、再点击‘NEXT’按钮即可完成安装。
6、添加相应的规则库,可直接联网下载最新的规则库,或是将安装包下的fotify_rule文件夹下rules_ZH.rar解压缩到fortify安装目录下的Core\config\rules位置。
7、安装完成后把系统时间改成2008年,方可正常使用。
1.3使用Audit Audit Workbench扫描目录
1、首先在开始菜单->所有程序->Fortify Software->Audit Workbench,启动Audit Workbench,界面如下。
2、建议采用Advanced Scan,然后选中要扫描的目录,点击确定按钮即可扫描。
确保所提供的项目源代码和相关依赖的库文件是完整的。