什么是 Fortify SCA 代码审计工具
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。Fortify 支持多种编程语言,包括 Java、C/C++、C#、PHP、JavaScript 等。
目录:
什么是 Fortify SCA 代码审计工具
Fortify 代码审计工具原理:
Fortify 的主要功能包括:
Fortify SCA 代码审计工具安装:
(1)安装时需要注意的步骤
(2)替换JAR包,将下载的 fortify-common-20.1.1.0007.jar
(3)添加 rules 和 ExternalMetadata 文件
(4)运行 Fortify SCA 程序.
(4)修改语言为中文.
Fortify 代码审计使用:
(1)点击高级扫描,让它自动识别是什么语言.
(2)查看扫描结果.(可以看到里面是中文信息)
(3)导出报告.
Fortify 代码审计工具原理:
(1)首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree),将其源代码之间的调用关系,执行环境,上下文等分析清楚。
(2)通过分析不同类型问题的静态分析引擎分析NST文件,同时匹配所有规则库中的漏洞特征,将漏洞抓取出来,然后形成包含详细漏洞信息的FPR结果文件,用AWB打开查看。
Fortify 的主要功能包括:
(1)代码扫描:Fortify 可以扫描源代码,识别各种类型的安全漏洞,如注入攻击、跨站脚本、错误处理等。
(2)漏洞报告:Fortify 会生成详细的漏洞报告,包括漏洞的位置、类型、严重性等信息,帮助开发人员快速定位和修复问题。
(3)漏洞修复建议:Fortify 提供具体的修复建议,指导开发人员如何修复漏洞,提高代码的安全性。
(4)持续集成:Fortify 可以集成到持续集成/持续部署流程中,在每次代码提交时自动扫描并生成报告。
(5)风险管理:Fortify 提供了漏洞管理和风险分析功能,帮助安全团队更好地了解和管理应用程序的安全风险。
总的来说,Fortify 是一款功能强大的代码审计工具,可以帮助组织提高应用程序的安全性,减少安全漏洞带来的风险.
Fortify SCA 代码审计工具安装:
(1)安装时需要注意的步骤
(2)替换JAR包,将下载的 fortify-common-20.1.1.0007.jar 替换掉 Fortify 安装目录下的 Core \ lib目录下的同名包.
(3)添加 rules 和 ExternalMetadata 文件
将文件放入安装路径下的 Core \ config\ 目录下;
(4)运行 Fortify SCA 程序.
电脑下直接搜索:Audit Workbench 
是否更新规则,直接选No
(4)修改语言为中文.
安装目录下的 \bin 找到 scapostinstall.cmd 运行.
运行后,按着顺序输入.
回到工具的页面.
Fortify 代码审计使用:
(1)点击高级扫描,让它自动识别是什么语言.
把代码添加进入进行扫描.
(2)查看扫描结果.(可以看到里面是中文信息)
(3)导出报告.
参考学习链接:[ 代码审计篇 ] Fortify 安装及使用详解(一)Fortify 下载安装并设置语言为中文导出中文报告_fortify下载-CSDN博客
)
换衣)
)
