源码扫描工具Fortify SCA和FireLine对比说明

一、Fortify SCA

1.1软件简介

Fortify SCA是目前业界最为全面的源代码白盒安全测试工具，它能精确定位到代码级的安全问题，完全自动化的完成测试，最广泛的安全漏洞规则，多维度的分析源代码的安全问题。由于它是一款商业软件，这里只找到了一个早起的版本（V5.1）进行测试。

Fortify SCA主要的特性和优点如下：

1、业务最完整的静态代码分析器，以最大和最全面的安全编码规则为基础，而且这些规则可以不断地进行更新，以适应新的软件安全漏洞。

2、跨层跨语言地分析代码的漏洞产生，目前支持所有的主流开发语言。

3、在确认安全漏洞上有十分高的准确性。

4、可以精确地定位漏洞产生的全路径，方便开发人员对漏洞进行修复。

5、支持多种软件开发平台。

1.2在windows上安装

1、双击安装包中的exe即可安装。

2、选择Fortify提供的授权文件所在路径(即fortify.license)，点击‘NEXT’按钮。

3、选择相应的安装路径，点击‘NEXT’按钮。

4、选择相应的组件进行安装,在此处请注意，fortify默认不安装IDE插件，如果需要安装相应的IDE插件，如图所示：在此处我选择了基于eclipse3.x，VS2005的插件(选择安装VS的插件之前，得首先安装VS的IDE),然后点击‘NEXT’按钮。

 

5、再点击‘NEXT’按钮即可完成安装。

6、添加相应的规则库，可直接联网下载最新的规则库，或是将安装包下的fotify_rule文件夹下rules_ZH.rar解压缩到fortify安装目录下的Core\config\rules位置。

7、安装完成后把系统时间改成2008年,方可正常使用。

1.3使用Audit Audit Workbench扫描目录

1、首先在开始菜单->所有程序->Fortify Software->Audit Workbench,启动Audit Workbench,界面如下。

2、建议采用Advanced Scan，然后选中要扫描的目录，点击确定按钮即可扫描。

确保所提供的项目源代码和相关依赖的库文件是完整的。