[20][04][10] Fortify Static Code Analyzer 详解

最新推荐文章于 2025-03-12 22:02:50 发布
最新推荐文章于 2025-03-12 22:02:50 发布
阅读量2.6k 收藏 3
点赞数
分类专栏: 信息安全 文章标签: fortify 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57672329/article/details/122344698
版权

文章目录

1. Fortify Static Code Analyzer 是什么

是 Micro Focus 的一款代码安全扫描工具,属于 SAST(静态应用安全测试) 阶段, 支持 27 种开发语言的代码安全扫描, 可以通过 IDE 和 CI/CD 在本地无缝启动扫描

Fortify Static Code Analyzer 安装包

  • Windows: Fortify_SCA_and_Apps__windows_x64.exe
  • macOS: Fortify_SCA_and_Apps__osx_x64.app.zip
  • Linux: Fortify_SCA_and_Apps__linux_x64.run
  • Solaris: Fortify_SCA__solaris_x86.run or Fortify_SCA__solaris10_sparc.run

<version> 是软件发布版本

官方文档地址: https://www.microfocus.com/zh-cn/documentation/fortify-static-code-analyzer-and-tools/

2. 工具介绍

安装完成后目录结构

xx

  • Core\config\rules 下存放扫描规则包
  • Core\config\customrules 下存放自定义规则和问题类型忽略配置
  • bin 是存放工具类

3. 代码安全扫描实施步骤

使用 Fortify Static Code Analyzer 对代码进行安全扫描, 分为三个步骤

  • 清理中间文件和构建记录
  • 创建构建记录和生成中间文件
  • 对构建记录发起扫描

3.1 清理

sourceanalyzer.exe -clean 命令用于清理中间文件和构建记录, 当使用-b 指定构建 ID 时, 只删除与该构建 ID 相关的文件和构建记录

清理所有构建记录 和 中间文件
sourceanalyzer.exe -clean

清理指定构建 ID 相关的中间文件和构建记录
sourceanalyzer.exe -clean -b test_project

3.2 构建

进入需要安全扫描的代码目录下, 对需要安全扫描的代码进行构建

  • 最基础的构建命令
sourceanalyzer.exe -b <build_id>

将所有文件进行构建
sourceanalyzer.exe -b test_project
  • 指定构建文件目录和文件类型
sourceanalyzer.exe -b test_project <file_specifiers>

对所有 java 文件进行构建
sourceanalyzer.exe -b test_project "**/*.java"
  • 指定排除目录和文件不参与代码扫描构建
sourceanalyzer.exe -b <build_id> -exclude <file_specifiers>test 目录下的所有文件不构建
sourceanalyzer.exe -b test_project -exclude "**/test/*"

3.3 扫描

  • 对指定构建 ID 进行代码安全扫描
sourceanalyzer.exe -b <build_id> -scan

对构建ID test_project 进行安全扫描
sourceanalyzer.exe -b test_project -scan
  • 指定结果筛选器文件,过滤问题
sourceanalyzer.exe -b <build_id> -scan -filter <file>

指定 xx/filter_ruleid.txt 文件筛选文件,过滤里面配置的漏洞
sourceanalyzer.exe -b test_project -scan -filter "xx/filter_ruleid.txt"
  • 指定扫描结果文件路径和名称
指定代码扫描结果文件路径和文件名称
sourceanalyzer.exe -b test_project -scan -f <file>

sourceanalyzer.exe -b test_project -scan -f /home/code/test-project-result.fpr

配置扫描结果报告类型,提供几种格式报告: fpr, fvdl, fvdl.zip, text, and auto
sourceanalyzer.exe -b test_project -scan -format <format>

sourceanalyzer.exe -b test_project -scan -format fpr
网安工具系列:Fortify SCA v23.2.0非正常版安装小记(静态代码审计工具)
weixin_54626591的博客
05-24 1143
Fortify SCA v23.2.0非正常版安装小记
Java代码审计之Fastjson反序列化漏洞详解
悦分享
09-16 2306
FastJson 是一个由阿里巴巴研发的java库,FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。“自2017年3月15日,fastjson官方主动爆出其在1.2.24及之前版本存在远程代码执行高危安全漏洞以来,各种新型绕过姿势层出不穷。漏洞被利用本质找到一条有效的攻击链,攻击链的末端就是有代码执行能力的类,来达到我们想做的事情,一般都是用来RCE(远程命令执行)。
Fortify Static Code Analyzer 产品介绍.pdf
07-21
ortify SCA 是一款静态应用程序安全性测试 (SAST) 产品,可供开发团队和安全专家分析 源代码,检测安全漏洞。该功能可检查代 码,能够帮助开发人员更快更轻松地识别 问题并排定问题优先级,然后加以解决。
代码审计入门指南:适合初学者的实战解析(含Fortify使用案例)
最新发布
lmh_2209的博客
03-12 2240
代码审计是通过阅读和分析源代码,寻找可能导致安全问题的代码片段(如SQL注入、XSS等)的过程。它属于白盒测试,与黑盒测试(直接攻击运行系统)不同,审计者能完全访问代码。理解漏洞原理(如SQL注入、XSS)。掌握审计流程(输入->处理->输出)。结合Fortify等工具和案例实践。
Fortify Scan - Static Code Analyzer
weixin_33717298的博客
06-28 1121
https://software.microfocus.com/en-us/products/application-security-testing/overview https://software.microfocus.com/en-us/products/static-code-analysis-sast/overview   https://marketplace.microfoc...
Fortify Static Code Analyzer 24.2 for macOS, Linux & Windows - 静态应用安全测试
sysin | SYStem INside
12-17 1251
Fortify Static Code Analyzer 24.2 for macOS, Linux & Windows - 静态应用安全测试
OpenText Fortify 静态代码分析器,静态应用程序安全性测试
qq_43653083的博客
10-24 1009
Cybersecurity Static Code Analyzer (SCA)可查明源代码中安全漏洞的根本原因,确定最严重问题的优先级,并提供有关如何修复这些问题的详细指导,以便开发人员可以利用集中式软件安全管理在更短的时间内解决问题。
static_code_analysis
topinking的专栏
07-04 198
http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis   Open Source Code Analyzers in Java http://java-source.net/open-source/code-analyzers   Inspection/Review Tools, Source/Binary Code...
fortify使用详解
01-02
Fortify Static Code Analyzer (SCA) 是一款用于检测软件源代码中的潜在安全漏洞和其他质量问题的强大工具。为了顺利安装并使用该工具,需遵循一系列具体步骤[^1]。 对于初次使用者而言,访问官方提供的资源库可以...
Fortify SCA 19安装包:代码审计工具详解
Fortify SCA(Static Code Analyzer,静态代码分析器)是惠普公司推出的一款自动化安全测试工具,旨在帮助企业进行代码层面的安全审核,以发现软件中的安全漏洞。Fortify SCA是Fortify软件安全产品线中的重要组成...
Fortify SCA 安装使用手册
06-30
**Fortify SCA**(Static Code Analyzer),作为Fortify 360系列的一部分,主要功能是在开发阶段对应用程序源代码进行安全分析,帮助开发者识别并解决潜在的安全问题。其主要特性包括: 1. **全面的规则库**:拥有...
CodeAnalyzer:用于Ruby源代码的静态代码分析器工具。 它检查代码中的样式和复杂性错误
02-04
Ruby代码分析器 ••••••• 关于 该存储库包含用于Ruby源代码的静态代码分析器工具。 它检查代码中的样式和复杂性错误。 该工具旨在帮助实施适当的编程实践。 先决条件 要使用该程序,必须在本地计算机上安装Parser和Colorize gems。 要安装解析器gem,请在终端仿真器中运行以下命令。 gem install parser 要安装Colorize gem,请在终端仿真器中运行以下命令。 gem install colorize 可用检查 请参阅以了解所有检查功能。 入门 步骤1 首先,您必须在本地计算机上克隆存储库。 要克隆仓库,请在终端仿真器中运行以下命令: g
代码统计工具CodeAnalyzer
10-21
简单的代码统计工具,安装jdk,把这个jar放到需要统计的代码根目录,运行即可。如果双击不能行,打开命令行,切换到当前目录,java -jar CodeAnalyzer.jar回车即可。大家随便赏一分吧。或者下源码,在Github上面,看我博客
上海泽众CodeAnalyzer产品介绍
08-19
CodeAnalyzer是上海泽众软件科技有限公司自主研发的,拥有自主产权的,用于实现静态分析、代码走查、代码规范检查以及代码潜在错误分析的白盒测试工具。它是一种脱离编译器的代码静态分析软件产品,在后文中简称CA。
Fortify-SCA社区精华:10大最佳实践与案例分析
[Fortify-SCA社区精华:10大最佳实践与案例分析](https://opengraph.githubassets.com/c26c455110f51fe6ff6e33dc55be2c7a71fd3249ca97dbb9f2a99ae27f2ed70c/rsharma2023/sonarqube-analysis) # 摘要 本文旨在全面...
静态源代码安全扫描工具测评结果——fortify
INSBUG的博客
10-18 356
在此基础上,【网安基地供应链安全检测中心】联合【武汉金银湖实验室】邀请国内外各大厂商以部署环境、安全扫描、漏洞检测、源码支持、扩展集成、产品交互以及报告输出七个维度为基准,开展“静态源代码安全扫描工具测评活动”。2023年5月30日,OWASP中国基于目前行业内的相关调研报告以及行业共识发布了《静态源代码安全扫描工具测评基准》v2.0版本,对于静态源代码安全扫描工具的测评基准进行了升级。基准测评项:部署环境、安全扫描、漏洞检测、源码支持、扩展集成、产品交互、报告输出。平均扫描速率(单位:秒)
Code Analyzer -- A GUI Tool for count Project lines
06-16 188
Code Analyzer is a java application for C, C++, java, assembly, html, and user-defined software source metrics. It calculates metrics across multiple source trees as one project. It has a nice tre...
静态代码分析工具列表--常用静态代码分析工具介绍
热门推荐
视频质量测试mazhitong1227的博客
09-08 1万+
代码检测简介        本文是一个静态代码分析工具的清单,但是为公司产品需要付费使用。共有37个公司,有些公司包含多个工具。其中27个公司有多语言 工具,1个公司为PHP工具、2个公司为.NET工具、1个公司为Ada工具、4个公司为C++工具、1个公司为Java工具、1个公司为PL/SQL具。         本人也使用过很多测试软件,最为了解Fortify、Coverity
vim(gvim)配合ZendCodeAnalyzer检查php语法
曾健生的专栏
02-02 1713
http://www.vimer.cn/2011/01/vimgvim%E9%85%8D%E5%90%88zendcodeanalyzer%E6%A3%80%E6%9F%A5php%E8%AF%AD%E6%B3%95.html 本博之前有写过一篇vim+php.exe检查php语法的文章-在vim中检查php语法格式,这种方式的优点是只依赖php环境本身,但缺点也很明显:检查并不
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值