FortifySCA详细介绍(三)

已于 2023-07-15 21:25:29 修改
阅读量8.3k 收藏 11
点赞数 5
分类专栏: 代码审计 文章标签: 代码审计
于 2018-10-06 11:43:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wutianxu123/article/details/82949981
版权
本文详细介绍了如何使用Fortify SCA工具进行代码审计,包括Java项目的简单扫描和针对多种语言的高级扫描。在高级扫描中,用户可以选择文件夹,设置类路径、Build ID,并管理规则包以进行自定义分析。扫描过程中,可以排除特定文件或目录,调整扫描阶段的选项,以及处理扫描警告。
摘要由CSDN通过智能技术生成

本博客地址:https://security.blog.csdn.net/article/details/82949981

二、使用Fortify SCA

2.1、扫描 Java 项目

“Scan Java Project(扫描 Java 项目)”向导将转换阶段和分析阶段合并为一个简单的步骤。使用此功能可以扫描源那些代码位于单个目录中的小型 Java 项目。

使用步骤 详细描述
扫描新的 Java 项目 打开 Audit Workbench。
系统会显示开始页面 在“New Projects(新项目)”中,单击 Scan Java Project(扫描 Java 项目)。
系统会显示 Browse for Folder(浏览文件夹)对话框 选择包含所有需要分析的源代码的文件夹,然后单击 OK(确定)。
注意:Fortify SCA 将 Build ID 设为文件夹
了解本专栏 订阅专栏 解锁全文 超级会员免费看
武天旭
关注
专栏目录
订阅专栏
FortifySCA详细介绍(一)
武天旭的博客
10-06 2万+
Audit Workbench 会启动 Fortify SCA“Scanning(扫描)”向导来扫描和分析源代码。使用源代码创建中间文件,源代码与一个 Build ID相关联,Build ID通常就是项目名称。扫描中间文件,分析代码,并将结果写入一个Fortify Project Results(FPR)文件。确保所有源文件均包含在扫描过程中,使用的是正确的规则包,且没有报告重大错误。安全编码规则包是 Fortify Software 安全研究小组多年软件安全经验的体现,并且经过其不断努力改进而成。
FortifySCA用户使用手册
11-08
- **关于搜索字符串**:详细介绍如何构建有效的搜索关键字。 - **搜索查询示例**:给出实际的例子来演示如何使用搜索功能。 - **创建问题**:当发现新的潜在问题时,可以在 Issue 面板中记录下来。 - **废除问题**...
代码质量利器:Fortify SCA使用指南:1
知行合一 止于至善
06-11 9550
静态代码分析器SCA(Static Code Analyzer):包含多种语言的安全相关的规则,而对于这些规则相关的违反状况则是SCA重点确认的内容。SCA可以做到快速准确定位修正场所,同时还可以定制安全规则。
代码审计--17--Fortify SCA详细(下)
liuno0的博客
10-23 2221
代码审计--17--Fortify SCA详细(下) 本文链接:https://blog.csdn.net/wutianxu123/article/details/82949981 1.2 使用Fortify SCA 1、扫描 Java 项目 “Scan Java Project(扫描 Java 项目)”向导将转换阶段和分析阶段合并为一个简单的步骤。使用此功能可以扫描源那些代码位于单...
2022年Fortify中文规则库-rules版本2022.1.1.0007
最新发布
gitblog_09761的博客
09-06 323
2022年Fortify中文规则库-rules版本2022.1.1.0007 项目地址:https://gitcode.com/open-source-toolkit/786f7 欢迎使用Fortify中文规则库升级包 本仓库提供了2022年Fortify中文规则库的最新更新,版本号为2022.1.1.0007。此资源旨在帮助用户提升其Fortify应用程序安全扫描的精确度与覆盖范围,特别是对于需...
第42篇:Fortify代码审计命令行下的使用与调用方法
ABC_123的博客
01-03 2503
Part1 前言最近感染了新冠,大病初愈,没气力写复杂的文章了,索性就把《代码审计工具系列教程》写完吧。前面几期分别讲了Fortify、Checkmarx、Coverity、Klocwork等代码审计工具的使用,反响还不错,本期讲讲Fortify命令行下的调用方法。Fortify的命令行程序名字是sourceanalyzer.exe,如果您没用过这个程序,那Fortify可真是需要好好补补课了...
代码静态分析
chenkaifang的博客
07-28 3025
1、简介 静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行。代码检查代码检查包括代码走查、桌面检查、代码审查等,主要检查代码和设计的一致性,代码对标准的遵循、可读性,代码的逻辑表达的正确性,代码结构的合理性等方面;可以发现违背程序编写标准的问题,程序中不安全、不明确和模糊的部分,找出程序中不可移植部分、违背...
Fortify 代码扫描安装使用教程
热门推荐
回忆式~过去.的博客
05-17 2万+
Fortify安装使用简易教程 双击安装应用程序 点击Next进行下一步 接受协议,点击Next 选择安装位置或者默认位置,点击Next 勾选你要安装的插件,点击Next下一步 选择\fortify.license,点击下一步 选择更新服务器,这里可以不用填写 移除之前版本选择NO 安装实例代码项目选择No 准备安装,点击Next即可进行安装 安装完成后需要把规则库下的文件解压或者复制到安装目录的Core\config下 应用程序搜索Scan Wizard,双击Audit Work
Fortify SCA 2020版
04-27
2. **解压与安装**:将下载的压缩包文件`FortifySCA20.1.1`解压到一个合适的目录,然后运行安装程序。在安装向导中,按照提示操作,确保在指定许可证文件的环节选择已解压的`fortify.lisence`。 3. **更新规则文件*...
Fortify SCA 20.1.1代码审计
06-15
Fortify SCA 20.1.1代码审计Fortify SCA 20.1.1代码审计 Fortify SCA 20.1.1代码审计Fortify SCA 20.1.1代码审计 Fortify SCA 20.1.1代码审计Fortify SCA 20.1.1代码审计 Fortify SCA 20.1.1代码审计Fortify SCA ...
fortify SCA
12-23
fortify SCA白皮书 介绍SCA的基本功能和规格
Fortify SCA 19.1.0-fiona.zip
08-27
5. **报告与可视化**:生成详细的安全报告,并以图表形式展示,便于团队理解和追踪安全状况。 6. **持续集成/持续部署(CI/CD)支持**:可以无缝集成到Jenkins、GitLab等CI/CD工具链中,实现安全测试的自动化。 7. *...
fortify扫描java_使用HP Fortify SCA扫描Linux内核
weixin_35796591的博客
02-23 581
我正在尝试使用HP Fortify SCA扫描RHEL7.5服务器内核[linux-3.10.0-862.el7] . 我在虚拟机上的RHEL工作站操作系统上 .在工作目录中,我正在做:“sourceanalyzer -b mybuild touchless make”内核自己编译使用“make” . sourceanalyzer经历了一些代码,但它似乎出错了:CC arch / x86 / p...
代码审计篇】 代码审计工具Fortify基本用法详解
做自己喜欢的事,并将其发挥到极致!
02-08 1万+
Fortify全名叫Fortify SCA ,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款Web漏洞扫描器,叫做 Webinspect。美国的Fortify、Coverity、Codesecure、IBM AppScan Source 以色列的Checkmarx、加拿大的Klockwork是现在国际上比较出名的几款代码审计工具,那么接下来就Fortify介绍一下使用方法。
Fortify代码扫描工具
曰业而安的博客
12-26 1万+
一、Fortify介绍 Fortify是一款强大的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分强悍,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。其次fortify SCA团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强Fortify SCA的漏洞识别能力,同时经过自定义规则,也可以降低误报,使静态分析的准确度和高效性。 默认情况下,Fortify SCA使用安装的安全编码规则包来检查源代码,并定义一系列...
代码审计Fortify SCA 代码审计神器.
网络安全领域___专研者.
06-02 2226
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。Fortify 支持多种编程语言,包括 Java、C/C++、C#、PHP、JavaScript 等。
代码审计工具之Fortify安装以及初步使用
weixin_52515588的博客
04-21 2万+
目录 1 Fortify Fortify工具介绍 1 Fortify Fortify工具介绍 Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。 安全编码规则中的规则分析受支持语言的核心和扩展的API包中的函数,并将分析结果记录在Fortify ..
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

武天旭

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值