FortifySCA详细介绍(一)

已于 2023-07-15 22:01:53 修改
阅读量2w 收藏 26
点赞数 10
分类专栏: 代码审计 文章标签: 代码审计
于 2018-10-06 11:17:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutianxu123/article/details/82949770
版权
本文详细介绍了Fortify Source Code Analysis (SCA),包括扫描和分析源代码的阶段,安全编码规则包的介绍,以及审计界面的主要组成部分。Fortify SCA通过安全编码规则包检测源代码中的异常行为,帮助开发人员识别和修复安全问题。审计界面提供了如'Issues'面板、'Analysis Trace'面板等,便于问题管理和分析。
摘要由CSDN通过智能技术生成

本博客地址:https://security.blog.csdn.net/article/details/82949770

=====================================================
代码审计工具汇总:
https://download.csdn.net/download/wutianxu123/10703087

=====================================================

一、Fortify SCA概述

1.1、Source Code Analysis 阶段概述

Audit Workbench 会启动 Fortify SCA“Scanning(扫描)”向导来扫描和分析源代码。该向导整合了以下几个分析阶段:

转换:使用源代码创建中间文件,源代码与一个 Build

了解本专栏 订阅专栏 解锁全文 超级会员免费看
武天旭
关注
  • 10
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
源码扫描工具Fortify SCA和FireLine对比说明
toto1222的专栏
07-19 2776
一、Fortify SCA 1.1软件简介 Fortify SCA是目前业界最为全面的源代码白盒安全测试工具,它能精确定位到代码级的安全问题,完全自动化的完成测试,最广泛的安全漏洞规则,多维度的分析源代码的安全问题。由于它是一款商业软件,这里只找到了一个早起的版本(V5.1)进行测试。 Fortify SCA主要的特性和优点如下: 1、业务最完整的静态代码分析器,以最大和最全面的安全编码规...
代码质量利器:Fortify SCA使用指南:1
知行合一 止于至善
06-11 9460
静态代码分析器SCA(Static Code Analyzer):包含多种语言的安全相关的规则,而对于这些规则相关的违反状况则是SCA重点确认的内容。SCA可以做到快速准确定位修正场所,同时还可以定制安全规则。
代码审计利器—Fortify_SCA_v23.2.0
2301_76786857的博客
01-15 2581
Fortify SCA代码审计功能依赖于它的规则库文件,我们可以下载更新的规则库,然后放置在安装目录下相应的位置。bin文件放置在安装目录下Coreconfigrules文件夹,xml文件放置在CoreconfigExternalMetadata文件夹(如果该文件夹没有则新建一个)。
Fortify的安装与使用基础
Salois的博客
12-22 2263
找到com.fortify.sca.DefaultFileTypes这行,把导致进度卡住的文件类型删除(如js,jsx,htm,html)这样默认是不会扫该类文件。扫描时如果长时间卡在某个进度上,可根据导致卡住的文件类型进行判断,一般情况是因为js、jsx、htm、html之类的文件导致。按图步骤,依次输入对应值,按下回车(default默认值en,图中显示zh_CN是因为我已修改过)重启fortify,点击菜单,进入options设置窗口,按图操作,选择中文语言。选择静态代码所在目录,进行扫描。
代码审计的规范参考(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Libra1313的博客
06-14 1126
具体而言,通过审计发现源代码层面的安全弱点,但不包含软件分析、设计、测试、应用部署等层面的安全弱点。审计人员应检查代码是否将敏感数据存储在没有被锁定或被错误锁定的内存中,(将敏感数据存储于加锁不恰当的内存区域,可能会导致该内存通过虚拟内存管理器被写入到在磁盘上的交换文件中,从而使得数据更容易被外部获取),如果结果为肯定,则提示存在安全风险;审计实施结束后,组织现场审计结束会,将初始审计结果提供给被审计项目成员组,提供被审计项目组澄清误解的机会,并允许项目成员提供其他需要补充的信息(如审计员未考虑到的)。
Fortify 安装与使用
u012766140的博客
05-06 1546
最近跟源码检测工具干上了,上期写了一篇sonarqube 工具的安装步骤,这期继续另一个源码检测工具fortify 安装与使用步骤。。提示:以下是本篇文章正文内容,下面案例可供参考fortify也是一款比较流行的源码检测工具,原理是将被检测语言(如JAVA/C/C++/C#源代码)转换成一种中间媒体文件NST(Normal Syntax Tree)再进行检测。fortify支持的检测语言有:1、asp.net2、VB.Net3、c#.Net4、ASP5、VBscript。
代码审计神器:Fortify SCA 保姆级教程
Flag少侠的博客
05-07 2440
Fortify SCA(Software Security Center)是一款静态代码分析工具,由Micro Focus公司开发。它旨在帮助开发团队在软件开发过程中发现和修复安全漏洞和代码缺陷。Fortify SCA通过对源代码进行静态分析,识别潜在的安全问题和软件缺陷,提供准确的警告和漏洞报告。它支持多种编程语言,包括Java、C/C++、C#等,可以用于各种类型的应用程序,包括Web应用程序、移动应用程序和嵌入式系统。
fortipy:Fortify的FPR文件浏览器库
04-28
强化 FortiPY是Fortify FPR文件浏览器库。 使用范例 基本上有两种打开FPR(FVDL文件)的方法: import fortipy with fortipy.FPR("filename.fpr") as f: print f.get_types_of_vulns() 或者您可以使用标准的打开/关闭: import fortipy f = fortipy.FPR("filename.fpr") print f.get_types_of_vulns() f.close() # by default if you open an .fpr file close() will clean the temp files but you can override this: # f.close(clean=False) 打开后,该对象将以Python结构包含FPR文件中
Fortify代码扫描工具
曰业而安的博客
12-26 1万+
一、Fortify介绍 Fortify是一款强大的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分强悍,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。其次fortify SCA团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强Fortify SCA的漏洞识别能力,同时经过自定义规则,也可以降低误报,使静态分析的准确度和高效性。 默认情况下,Fortify SCA使用安装的安全编码规则包来检查源代码,并定义一系列...
Fortify 安装及使用详解(中文版导出设置)
weixin_61240867的博客
07-18 1万+
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。数据量引擎:跟踪、记录并分析程序中的数据传递过程所产生的安全问题。语义引擎:分析过程中不安全的函数,方法的使用的安全问题。结构引擎:分析程序上下文环境、结构中的安全问题。
FortifySCA用户使用手册
11-08
- **关于搜索字符串**:详细介绍如何构建有效的搜索关键字。 - **搜索查询示例**:给出实际的例子来演示如何使用搜索功能。 - **创建问题**:当发现新的潜在问题时,可以在 Issue 面板中记录下来。 - **废除问题**...
Fortify SCA 2020版
04-27
2. **解压与安装**:将下载的压缩包文件`FortifySCA20.1.1`解压到一个合适的目录,然后运行安装程序。在安装向导中,按照提示操作,确保在指定许可证文件的环节选择已解压的`fortify.lisence`。 3. **更新规则文件*...
Fortify SCA 20.1.1代码审计
06-15
Fortify SCA 20.1.1代码审计Fortify SCA 20.1.1代码审计 Fortify SCA 20.1.1代码审计Fortify SCA 20.1.1代码审计 Fortify SCA 20.1.1代码审计Fortify SCA 20.1.1代码审计 Fortify SCA 20.1.1代码审计Fortify SCA ...
Fortify SCA 19.1.0-fiona.zip
08-27
5. **报告与可视化**:生成详细的安全报告,并以图表形式展示,便于团队理解和追踪安全状况。 6. **持续集成/持续部署(CI/CD)支持**:可以无缝集成到Jenkins、GitLab等CI/CD工具链中,实现安全测试的自动化。 7. *...
Fortify SCA快速入门以及常见问题解决方法
热门推荐
一个测试工程师的代码世界
10-15 5万+
本篇将透过HP_Fortify_SCA_and_Apps_3.80从实用主义的角度入手,使读者能够快速的对该工具进行使用和对一些可能出现的常见问题进行处理,从而完成一个完整流程的源代码安全性静态扫描测试。快速入门 规则库导入: 所有的扫描都是基于规则库进行的,因此,建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\Cor
代码审计工具-Fortify详细介绍和使用
ffffffuk的博客
09-16 1万+
Fortify SCA详细 1.1 Fortify SCA概述 1、Source Code Analysis 阶段概述 Audit Workbench 会启动 Fortify SCA“Scanning(扫描)”向导来扫描和分析源代码。该向导整合了以下几个分析阶段: 转换:使用源代码创建中间文件,源代码与一个 Build ID相关联,Build ID通常就是项目名称。 扫描与分析:扫描中间文件,分析代码,并将结果写入一个Fortify Project Results(FPR)文件。 校验:确保所有源文件均包含
代码审计工具——Fortify SCA
qq_61562251的博客
12-16 842
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有 的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在 的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的提供。
Fortify SCA 源代码安全测试工具-----介绍
视频质量测试mazhitong1227的博客
07-27 5958
Fortify SCA 源代码安全测试工具-----介绍                  关于fortify成立于2003年的Fortify Software是全球领先的软件安全产品解决方案供应商。Fortify Software软件产品主要包括业界最优秀的软件安全源代码扫描器,业界唯一的软件应用监控防卫器以及可以管理软件开发中的安全流程的管理平台等。         Fortify
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值