Fortify

最新推荐文章于 2022-03-21 20:53:59 发布
最新推荐文章于 2022-03-21 20:53:59 发布
阅读量463 收藏 1
点赞数
文章标签: c/c++ java python
原文链接:http://www.cnblogs.com/worklog/p/5329522.html
版权

sourceanalyzer -b my_buildid -scan -f xxx.fpr

-b  取一个build的ID号,通常以这个项目名称加扫描时间为buildID
-Xmx 指定JVM使用的最大内存数,这个SCA的JVM使用得
-clean 清除之前的转换的NST, 一般于-b一起使用,在项目转换之前。
-show -files 在完成转换之后, 展示这次转换的文件,多用于检查转换是否成功、完整。
-exclude 指定转换所排除的文件类型或者文件夹。
-cp  指定项目所依赖的classpath, 主要用于JAVA项目
-jdk 指定项目所用的JDK版本

-encoding 指定转换时遇到非英文的字符时的编码方式, 如UTF-8, JBK
Touchless 指定于构建工具集成, 如makefile, ant 等
-nc 指定转换不需要编译,用于 c/C++项目,编译器不支持时。
-c 指定转换所用的编译器,主要在扫描C/C++项目时使用。
-libdirs 指定.net 项目所用的JDK版本。

-vsversion 指定VS的版本,VS2003, 2005, 2008, 2010, 分别为7.1, 8.0, 9.0, 10.0
-append 指定本次扫描的结果追加到另一个FPR结果中,一般用于大项目分为多个部分扫描,生成一个FPR的情况。

-bin 指定C、C++项目编译后的.o.exe文件
-f 指定生成扫描结果文件的名字和路径
-filter 指定一个过滤文件来屏蔽一些不想扫描出来的问题,如误报。

-scan 指定本次操作为SCA的扫描分析阶段
-show-build-ids 显示本机器上共有多少个buildID
-show-build-tree 显示每一个文件在转换时所依赖的文件
-show-build-waring 显示在转换过程或者扫描过程时的warning 信息
-disable-source-rendering 关闭在扫描过程中对源代码的加载。

 

http://findbugs.sourceforge.net/

http://iis.hk/code-audit/about-fortify-sca.html

 

http://hao.jobbole.com/static_code_analysis_tool_list_opensource_enterprise/

 

 


HP Fortify SCA采用专利的X-Tier数据流程分析技术,完整分析各种程序语言之执行流程、数据输入/输出及程序语法,即使同一个应用系统中包含了不同语言的源代码,也可以完整分析及串接。透过HP Fortify SCA持续更新的检查规则(Rulepack),让最新的弱点可以被发现并修补,使用者也可以自行定义审计规则,针对特殊程序编写规则或要求进行检查。
1.Fortify SCA 扫描引擎介绍:

Foritfy SCA主要包含的五大分析引擎:

数据流引擎:跟踪,记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎:分析程序中不安全的函数,方法的使用的安全问题。
结构引擎:分析程序上下文环境,结构中的安全问题。
控制流引擎:分析程序特定时间,状态下执行操作指令的安全问题。
配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全问题。
特有的X-Tier™跟踪器:跨跃项目的上下层次,贯穿程序来综合分析问题。


1.翻译阶段(Translation Phase)
将各类不同的程序语言转译成分析引擎可以分析的中继语言(Metaleangeage)。
2.分析阶段(Analysis Phase)
依据内置或自行定义的检查规则分析中继语言中是否有符合条件的安全漏洞或质量睱疵。
3.审计阶段(Audit Phase)
展现审计后的结果,让审计人员或开发人员可以很容易地了解所发现的问题,并确认是否应进行修补。


Fortify SCA 的工作原理:
Foritfy SCA 首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree)将其源代码之间的调用关系,执行环境,上下文等分析清楚。然后再通过上述的五大分析引擎从五个切面来分析这个NST,匹配所有规则库中的漏洞特征,一旦发现漏洞就抓取出来。最后形成包含详细漏洞信息的FPR结果文件,用Audit Workbench打开查看。


4.Fortify SCA支持的编程语言:

•ABAP/BSP

•ActionScript/MXML (Flex)

•ASP.NET, VB.NET, C# (.NET)

•C/C++

•Classic ASP (w/VBScript)

•COBOL

•ColdFusion CFML

•HTML

•Java (including Android)

•JavaScript/AJAX

•JSP

•Objective-C

•PHP

•PL/SQL

•Python

•T-SQL

•Ruby

•Swift

•Visual Basic

•VBScript

 

转载于:https://www.cnblogs.com/worklog/p/5329522.html

weixin_30312563
关注
Fortify(2)
weixin_40798236的博客
12-25 502
Fortify2-快速扫描与定期扫描 Quick Scan 快速扫描 快速扫描模式提供了一种快速扫描项目主要问题的方法。默认情况下,快速扫描模式搜索高可靠性、高严重性问题。尽管扫描比完全扫描快,但它不能提供健全的结果集。 Limiters 限制条件 MF静态代码分析器分析的深度有时取决于可用的资源。Fortify Static Code Analyzer使用复杂性度量来权衡这些资源和它可以发现的漏洞数量。有时,这意味着在某个函数看起来不像Fortify Static Code Analyzer有足够的可用资
代码质量利器:Fortify SCA使用指南:1
知行合一 止于至善
06-11 9537
静态代码分析器SCA(Static Code Analyzer):包含多种语言的安全相关的规则,而对于这些规则相关的违反状况则是SCA重点确认的内容。SCA可以做到快速准确定位修正场所,同时还可以定制安全规则。
Fortify源码扫描
PJF1501105594的博客
05-07 547
FortifyFortifyFortifyfortify
Fortify SCA快速入门以及常见问题解决方法
一个测试工程师的代码世界
10-15 5万+
本篇将透过HP_Fortify_SCA_and_Apps_3.80从实用主义的角度入手,使读者能够快速的对该工具进行使用和对一些可能出现的常见问题进行处理,从而完成一个完整流程的源代码安全性静态扫描测试。快速入门 规则库导入: 所有的扫描都是基于规则库进行的,因此,建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\Cor
Jenkins 2.153版本,jemter4.0版本,apache-ant1.9.13版本,进行性能自动化测试出现如下报错
lxq18817388351的博客
12-04 255
Jenkins 2.153版本,jemter4.0版本,apache-ant1.9.13版本,进行性能自动化测试出现如下报错
安全测试工具fortify使用指南
最新发布
03-11
### 安全测试工具Fortify使用指南 #### 一、Fortify简介 Fortify是Micro Focus旗下的应用程序安全测试(Application Security Testing, AST)产品之一,它涵盖了多种安全测试技术和工具,旨在帮助开发者和安全专家...
fortify
03-17
Laravel Fortify是Laravel的前端不可知身份验证后端。 Fortify支持的注册,身份验证和两因素身份验证功能。 官方文件 可以在上找到Fortify的文档。 贡献 感谢您考虑为Fortify做出贡献! 您可以在阅读贡献指南。 行为...
代码审计神器Fortify - Fortify SCA 20.1.1
12-24
Fortify 详细安装使用可参考我的文章 [ 代码审计篇 ] Fortify安装及使用详解(一)Fortify安装并设置语言为中文导出中文报告 Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:...
Fortify SCA 19.zip
04-06
Fortify Software Composition Analysis (SCA) 是一款强大的静态代码分析工具,主要应用于软件安全领域,旨在帮助开发者在编码阶段发现并修复潜在的安全漏洞。Fortify SCA v19 是其第19个版本,提供了更先进的功能和...
fortify rules
08-31
Fortify是一款强大的静态代码分析工具,用于检测软件源代码中的安全漏洞和质量缺陷。它能够帮助开发者在编码阶段就发现并修复潜在的问题,避免在后期维护或生产环境中出现安全隐患。"Fortify 2020 检测规则"指的是...
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b <build-id>-clean o sourceanalyzer -b <build-id> sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式 插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明 查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b <buildid> <files> sourceanalyzer -b <buildid> javac <compiler opts> <files> G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files> NET: sourceanalyzer -b <buildin> <exe file> scan〓 sourceanalyzer -b <buildid> -scan -f results. fpr Output opt ions -format <fmt> Controls the output format. Valid options are auto, fpr. fvdl, and text. Default is auto for which type will be determined automatically based on file extension 一£<fi1e> The file to which results are written Default is stdout build-pro ject <name> The name of the project being scanned. Will be inc luded in the output bu⊥1d-1abe1<labe1> The1abe1 of the project being scanned.W主工1 be inc luded in the output build-version <version> The version of the project being scanned. wil1RTIFY. e uale OFTWARE Fortify SCA转换源代码 转换Java代码 Java程序命令行语法 JaVa命令行语法例子 转换J2EE应用程序 使用 Find bugs 转换NET源代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net version 2005 转换CC++代码 ●转换 PL/SQLITSQL FORTIFY SCA转换JAVA源代码命令 sourceanalyzer -b <build-id> -cp <classpath> <file-list> ●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron -appserver-home Table 1: File specifiers File specifier Description darna盈e All files found under the named directory or any subdirectories dx己盈e/古古 Any file named Example. java found under the named Example java directory or any subdirectories dx22盈e/,ava Any file with the extension. j ava found in the named directory dxna盈e吉/古,java Any file wth the extension j ava found under the named directory or any subdirectories d工22a盈e/方/吉 All files found under the named directory or ary subdirectories (same as dirname FORTIFY
fortify规则包概述
06-01
NULL 博文链接:https://hoochiang.iteye.com/blog/2070813
2020年fortify SCA最新rules.7z
08-17
该规则是fortify2020最新规则更新,可以添加到fortify中进行代码静态扫描,进行代码漏洞bug静态分析,提醒开发人员进行漏洞修复
Fortify SCA 代码规则库-支持Java
02-27
Fortify SCA 代码规则库-支持Java,静态代码扫描 Fortify在线规则库网址,符合代码安全的编码参考 Fortify SCA Java
fortify代码扫描使用教程
热门推荐
weixin_42464155的博客
09-13 6万+
配置信息:HP Fortify SCA and Applications 4.10+WIN7(64位家庭版) 打开fortify的工作台,选择Advanced  Scan(如果你知道源代码是java的可以选择Scan Java,C#可以选择Scan VS,不知道的话就选Advanced Scan) 选择代码文件夹,如果代码文件很大,建议拆开一个文件夹一个文件夹扫描 确定后,弹出通知框...
Fortify 代码扫描安装使用教程
回忆式~过去.的博客
05-17 2万+
Fortify安装使用简易教程 双击安装应用程序 点击Next进行下一步 接受协议,点击Next 选择安装位置或者默认位置,点击Next 勾选你要安装的插件,点击Next下一步 选择\fortify.license,点击下一步 选择更新服务器,这里可以不用填写 移除之前版本选择NO 安装实例代码项目选择No 准备安装,点击Next即可进行安装 安装完成后需要把规则库下的文件解压或者复制到安装目录的Core\config下 应用程序搜索Scan Wizard,双击Audit Work
java代码审计环境准备jdk、eclipse、tomcat、MySQL、fortify
m0_57379855的博客
03-21 4319
java代码审计环境准备jdk的安装eclipse的安装eclipse结合tomcatMySQL的安装Fortify代码审计工具简介原理支持语言安装运行fortify jdk的安装 下载地址:JDK8官方 直接在左下角搜索环境变量 添加JDK到系统环境变量 编辑path变量 点击新建值为:%JAVA_HOME%\bin ,点击确定按钮 输入命令 java -version,查看是否安装成功 你也可以下载其他版本的JDK eclipse的安装 下载地址:eclipse官方下载 下载成功后双击exe文件
Fortify配置
Java技术
10-26 3824
配置如下:
Fortify软件安全解决方案详解
"这份资源是Fortify Software Security Assurance Solution的官方内部资料,包含了关于Fortify产品的详细介绍和研讨会内容,强调了软件安全的新防御策略。资料中提到Fortify在多个行业如电子 commerce、银行金融、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值