【源代码扫描工具】-fortify SCA使用

最新推荐文章于 2024-08-15 14:33:10 发布
最新推荐文章于 2024-08-15 14:33:10 发布
阅读量1.2w 收藏 4
点赞数
分类专栏: 安全测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhailihua/article/details/74011264
版权

1-Fortify SCA 静态分析原理


1)Translation-把各种语言的源代码转为一种统一的中间语言代码。
      即通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree)将其源代码之间的调用关系,执行环境,上下文等分析清楚。 首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree)将其源代码之间的调用关系,执行环境,上下文等分析清楚。


2)Analysis-根据中间代码分析代码漏洞,并得出报告。
     通过8个分析不同类型问题的静态分析引擎分析这个NST,匹配所有规则库中的漏洞特征,一旦发现漏洞就抓取出来。最后形成包含详细漏洞信息的FPR结果文件,用AWB打开查看。

注意:

2-Fortify SCA 扫描的结果

Fortify SCA 的结果文件为.FPR文件,包括详细的漏洞信息:漏洞分类,漏洞产生的全路径,漏洞所在的源代码行,漏洞的详细说明及修复建议等。


una2017
关注
专栏目录
windows fortifySCA 扫描 c/c++ 项目
SHELLCODE_8BIT的博客
04-15 2935
例如 Clion 构建的项目cmakeLists.txt 文件,添加了如下 3 个依赖,gcc 编译时需要添加编译选项:-I -L -l 用于设置依赖路径,最后再指定 Windows 环境下的依赖 -lws2_32 -lshlwapi -lnetapi32,防止报 : undefined reference to `__imp_recv' 之类的错误。进行扫描时记得添加编译选项,和正常的 gcc 编译一样。下载解压,把它的 bin 目录路径设置到环境变量中。
代码质量利器:Fortify SCA使用指南:1
知行合一 止于至善
06-11 9505
静态代码分析器SCA(Static Code Analyzer):包含多种语言的安全相关的规则,而对于这些规则相关的违反状况则是SCA重点确认的内容。SCA可以做到快速准确定位修正场所,同时还可以定制安全规则。
1. Fortify使用破解教程
最新发布
weixin_64803495的博客
08-15 1137
Fortify 是Micro Focus 旗下AST(应用程序安全测试)产品,其产品组合包括: Fortify Static Code Analyzer 提供静态代码分析器(SAST),Fortify WebInspect 是动态应用安全测试软件(DAST),Software Security Center 是软件安全中心(SSC)和 Application Defender 是实时应用程序自我保护(RASP)。点击scan,进行扫描,等待扫描完成。根据设置的路径,找到导出的报告。
FortifySCA用户使用手册
11-08
欢迎学习啊。
Fortify SCA 安装使用手册
07-31
FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册FORTIFY 安装使用手册
代码审计神器Fortify - Fortify SCA 20.1.1
12-24
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源...
源代码扫描工具】 -fortify SCA原理简介
zhaizhai的博客
06-29 4322
1-Fortify SCAFortify Source Code Analysis)是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细的安全漏洞的信息,还会有相关的...
Fortify-SCA-扫描工具指导手册.pdf
09-06
Fortify SCA转换源代码 转换Java代码 Java程序命令行语法 JaVa命令行语法例子 转换J2EE应用程序 使用 Find bugs 转换NET源代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net ...
Fortify SCA(SourceCodeAnalysis)安装及使用手册.docx
12-11
本文档包含Fortify SCA(Source Code Analysis) 安装和使用教程,word格式。 特分享给大家
Fortify_SCA使用手冊
05-06
abcedfghijklmnopqrstuvwxyz——SCA使用手冊
Fortify-SCA扫描指南
08-01
本指南详细介绍了fortify工具的详细使用过程,以及命令的使用说明
fortify SCA
12-23
fortify SCA白皮书 介绍SCA的基本功能和规格
代码审计:Fortify SCA 代码审计神器.
网络安全领域___专研者.
06-02 1834
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。Fortify 支持多种编程语言,包括 Java、C/C++、C#、PHP、JavaScript 等。
代码审计工具-Fortify详细介绍和使用
热门推荐
ffffffuk的博客
09-16 1万+
Fortify SCA详细 1.1 Fortify SCA概述 1、Source Code Analysis 阶段概述 Audit Workbench 会启动 Fortify SCA“Scanning(扫描)”向导来扫描和分析源代码。该向导整合了以下几个分析阶段: 转换:使用源代码创建中间文件源代码与一个 Build ID相关联,Build ID通常就是项目名称。 扫描与分析:扫描中间文件,分析代码,并将结果写入一个Fortify Project Results(FPR)文件。 校验:确保所有源文件均包含
Fortify的安装与使用基础
Salois的博客
12-22 2654
找到com.fortify.sca.DefaultFileTypes这行,把导致进度卡住的文件类型删除(如js,jsx,htm,html)这样默认是不会扫该类文件扫描时如果长时间卡在某个进度上,可根据导致卡住的文件类型进行判断,一般情况是因为js、jsx、htm、html之类的文件导致。按图步骤,依次输入对应值,按下回车(default默认值en,图中显示zh_CN是因为我已修改过)重启fortify,点击菜单,进入options设置窗口,按图操作,选择中文语言。选择静态代码所在目录,进行扫描
关于Fortify扫描C/C++代码
xiangxiao1842的博客
04-09 2307
Fortify安装过程中有一个步骤是安装插件,提供Visual Studio、eclipse、IDEA的插件,选取后会自动检测已安装的IDE安装对应的插件。Fortify扫描C/C++代码时需做编译的动作,直接用Fortify扫描会得不到扫描结果,用VS的插件才可以。先说结论:Fortify扫描C/++代码需通过VS的插件,直接在Fortify扫描是得不到结果的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值