代码审计:Fortify SCA 代码审计神器.

什么是 Fortify SCA 代码审计工具

Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。Fortify 支持多种编程语言,包括 Java、C/C++、C#、PHP、JavaScript 等。


目录:

什么是 Fortify SCA 代码审计工具

Fortify 代码审计工具原理:

Fortify 的主要功能包括:

Fortify SCA 代码审计工具安装:

(1)安装时需要注意的步骤

(2)替换JAR包,将下载的 fortify-common-20.1.1.0007.jar 

(3)添加 rules 和 ExternalMetadata 文件

(4)运行 Fortify SCA 程序.

(4)修改语言为中文.

Fortify 代码审计使用:

(1)点击高级扫描,让它自动识别是什么语言.

(2)查看扫描结果.(可以看到里面是中文信息)

(3)导出报告.


Fortify 代码审计工具原理:

(1)首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree),将其源代码之间的调用关系,执行环境,上下文等分析清楚。

 

(2)通过分析不同类型问题的静态分析引擎分析NST文件,同时匹配所有规则库中的漏洞特征,将漏洞抓取出来,然后形成包含详细漏洞信息的FPR结果文件,用AWB打开查看。


Fortify 的主要功能包括:

(1)代码扫描:Fortify 可以扫描源代码,识别各种类型的安全漏洞,如注入攻击、跨站脚本、错误处理等。

 

(2)漏洞报告:Fortify 会生成详细的漏洞报告,包括漏洞的位置、类型、严重性等信息,帮助开发人员快速定位和修复问题。

 

(3)漏洞修复建议:Fortify 提供具体的修复建议,指导开发人员如何修复漏洞,提高代码的安全性。

 

(4)持续集成:Fortify 可以集成到持续集成/持续部署流程中,在每次代码提交时自动扫描并生成报告。

 

(5)风险管理:Fortify 提供了漏洞管理和风险分析功能,帮助安全团队更好地了解和管理应用程序的安全风险。

总的来说,Fortify 是一款功能强大的代码审计工具,可以帮助组织提高应用程序的安全性,减少安全漏洞带来的风险.

Fortify SCA 代码审计工具安装:

(1)安装时需要注意的步骤


(2)替换JAR包,将下载的 fortify-common-20.1.1.0007.jar 替换掉 Fortify 安装目录下的 Core \ lib目录下的同名包.


(3)添加 rules 和 ExternalMetadata 文件

将文件放入安装路径下的 Core \ config\ 目录下;


(4)运行 Fortify SCA 程序.

电脑下直接搜索:Audit Workbench 

是否更新规则,直接选No


(4)修改语言为中文.

安装目录下的 \bin 找到 scapostinstall.cmd 运行.

运行后,按着顺序输入.

回到工具的页面.


Fortify 代码审计使用:

(1)点击高级扫描,让它自动识别是什么语言.

把代码添加进入进行扫描.


(2)查看扫描结果.(可以看到里面是中文信息)


(3)导出报告.

  

  

  

参考学习链接:[ 代码审计篇 ] Fortify 安装及使用详解(一)Fortify 下载安装并设置语言为中文导出中文报告_fortify下载-CSDN博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/21178.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Vue.js:渐进式JavaScript框架-前端开发

1.介绍-What is Vue? An approachable, performant and versatile framework for building web user interfaces. [一个平易近人、高性能和多功能的框架,用于构建 Web 用户界面。] --来自官网Vue.js - The Progressive JavaScript Framework | Vue.js (vuejs.org) …

WiFi蓝牙模块促进传统零售数字化转型:智能零售体验再升级

随着科技的不断发展,数字化转型已经成为了各行各业的必然趋势。在传统零售业中,WiFi蓝牙模块的应用正逐渐推动着行业的数字化转型,为消费者带来更加智能化、便捷化的零售体验。本文MesoonRF美迅物联网将从以下几个方面阐述WiFi蓝牙模块在传统…

企业如何释放生成式AI的业务价值

在生成式AI与大模型技术风起云涌的今天,如何让生成式AI应用在企业落地、真正释放生成式AI业务价值,也成为了广大企业最为关心的话题。 而在这一过程中,生成式AI服务提供商及其合作伙伴,都扮演着非常关键的角色。 积极拥抱生成式AI…

算法题day38(补5.24日卡:贪心算法day5)

一、刷题: 1.leetcode题目 435. 无重叠区间 - 力扣(LeetCode)(medium) 解决: class Solution:def eraseOverlapIntervals(self, intervals: List[List[int]]) -> int:intervals.sort(key lambda x:(x[0],x[1]))ans 0for i…

一个程序员的牢狱生涯(51)换衣

星期二 换衣 秦所和老郅在交接完班后,走出了内班,今天是武所的班。 武所在进了内班后,第一件事就是打开大铁栅栏在过道内开始检查各个号子的坐班情况。二铺在纠正了我们坐班的位置后,也规规矩矩地坐着,号子里一片安静。 铁门的小窗户上随着脚步声的临近,出现了武所严肃的…

HTML标签(超链接、锚、表格、表单)

HTML的标签2 超链接标签:锚链接:表格标签:表单:输入输出: 超链接标签: 超链接标签:a ​ 属性: ​ href - 链接地址 ​ target - 跳转目标(_self在当前卡…

人力资源管理系统,员工管理系统

项目概述 本项目是一款基于Spring BootVueElementUI的人力资源管理系统,有权限管理、财务管理、系统管理、考勤管理等功能模块 获取代码及服务 见闲鱼 技术栈 前端 Vue、Axios、ElementUI、Vue-Router、Vuex、ECharts 后端 Spring Boot、Jwt、MyBatis-Plus、…

王源演唱会火爆开枪

王源演唱会火爆开抢!当夜幕降临,繁星点点,无数粉丝的心随着一个名字而狂跳——王源!就在昨晚,王源的演唱会门票正式开抢,然而,就在这个激动人心的时刻,猫眼突然停止,让无…

springboot 自带的定时任务

启用springboot 定时任务 在springboot 启动类上增加EnableScheduling 注解 如下 SpringBootApplication EnableScheduling public class SpringApplication {public static void main(String[] args) {SpringApplication.run(SpringApplication.class, args);} }编写定时逻辑…

java 基础教程

第三章:程序控制语句 1.从小打到排序数值 import java.util.Scanner;public class NewTest {// 1.从小打到排序数值public static void main(String[] args) {Scanner s new Scanner(System.in);System.out.println("请输入3个整数:");int …

rust显示类型转换-语言规则设计思考

rust数值运算小栗子: fn main() {//1.both of the same type: i32let sum 6 10;println!("1.both of the same type: i32 ,value: {}", sum);//2. i32 u32;let sum 6i32 10u32 as i32;println!("2. i32 u32 ,value: {}", sum);//3. i8 …

go-zero整合单机版ClickHouse并实现增删改查

go-zero整合单机版ClickHouse并实现增删改查 本教程基于go-zero微服务入门教程,项目工程结构同上一个教程。 本教程主要实现go-zero框架整合单机版ClickHouse,并暴露接口实现对ClickHouse数据的增删改查。 go-zero微服务入门教程:https://b…

如何使用python将多个EXCEL表进行合并

在Python中,你可以使用pandas库来轻松地将多个Excel表格合并。以下是一个基本的步骤指南和示例代码,说明如何合并多个Excel文件到一个单独的DataFrame中: 步骤 安装pandas和openpyxl(如果你正在处理.xlsx文件)。导入…

Microservices with Martin Fowler

Summary The article “Microservices” by Martin Fowler discusses an architectural style for software systems that has been gaining popularity due to its flexibility and scalability. Here’s a summary highlighting the key points: Microservice Architectural…

通过Validator接口实现参数校验

一、自定义类实现Validator接口 重写supports和validate这两个方法&#xff0c;在supports中写你要需校验的参数&#xff0c;在validate中定义你需要校验的规则 public class WarehouseAreaValidator implements Validator {Overridepublic boolean supports(Class<?>…

贪吃蛇游戏的编程之旅:在Windows PyCharm中使用Python

在电脑游戏的发展史中,贪吃蛇游戏无疑是其中的经典之作。许多人对其简单而上瘾的游戏玩法念念不忘。对编程爱好者来说,重新编写一个贪吃蛇游戏不仅是对青春回忆的一种致敬,也是一个极佳的学习机会。本文将引导你在Windows系统的PyCharm环境下,使用Python和pygame库来实现这…

jackson 若干问

jackson 若干问 https://www.jianshu.com/p/7a4653704acb https://cloud.tencent.com/developer/article/2394800 https://developer.aliyun.com/article/1001646 https://stackoverflow.com/questions/24280605/how-to-create-json-array-using-jackson https://www.bael…

Unity内制作动画

Unity内制作动画 动画剪辑&#xff08;Animation Clips&#xff09; 创建动画剪辑&#xff1a;在Unity中&#xff0c;可以通过导入动画数据来创建动画剪辑。这些数据可以是FBX、OBJ等格式的3D模型文件&#xff0c;其中包含关键帧动画。 编辑动画剪辑&#xff1a;在Unity的Anim…

最新一站式AI创作中文系统网站源码+系统部署+支持GPT对话、Midjourney绘画、Suno音乐、GPT-4o文档分析等大模型

一、系统简介 本文将介绍最新的一站式AI创作中文系统&#xff08;集成ChatGPTMidjourneySunoStable Diffusion&#xff09;——星河易创AI系统&#xff0c;该系统基于ChatGPT的核心技术&#xff0c;融合了自然语言问答、绘画、音乐、文档分享、图片识别等创作功能&#xff0c;…

牛客热题:数组中出现一次的两个数字

&#x1f4df;作者主页&#xff1a;慢热的陕西人 &#x1f334;专栏链接&#xff1a;力扣刷题日记 &#x1f4e3;欢迎各位大佬&#x1f44d;点赞&#x1f525;关注&#x1f693;收藏&#xff0c;&#x1f349;留言 文章目录 牛客热题&#xff1a;数组中出现一次的两个数字题目链…