前言
-
Fortify SCA 支持丰富的开发环境、语言、平台和框架,可对开发与生产混合环境进行安全检查。25 种编程语言 超过 911,000 个组件级 API 可检测超过 961 个漏洞类别 支持所有主流平台、构建环境和 IDE。
-
Fortify SCA是一款商业软件,价格较为昂贵,因此我只找到了一个早期的版本进行试用。因为是商业软件,它有详细的使用文档,查阅非常方便。它支持一些IDE的插件功能,在安装的时候会有选项。
-
Fortify SCA的代码审计功能依赖于它的规则库文件,我们可以下载更新的规则库,然后放置在安装目录下相应的位置。bin文件放置在安装目录下Coreconfigrules文件夹,xml文件放置在CoreconfigExternalMetadata文件夹(如果该文件夹没有则新建一个)。
-
打开Audit Workbench,点击Start New Project->Advanced Scan选项就可以快速开始一个审计任务。选择需要审计的应用程序根目录,在Additional Options选项中选择使用的规则库,在Audit Guide提出的四个问题中选择对应的选项,点击Run Scan即可。
支持的编程语言:
01更新介绍
更新支持的 IDE
Eclipse
IntelliJ Ultimate
IntelliJ Community Android Studio
IBM Rational Application Developer (RAD)
IBM Rational Software Architect (RSA)
Microsoft Visual Studio
更新支持的构建工具
Ant
Jenkins
Maven
MSBuild
Xcodebuild
更新支持的缺陷管理平台
Jira
ALM
Bugzilla
更新支持的代码管理工具
Git
SVN
TFS
更新覆盖众多的漏洞
包括 810 多个 SAST 漏洞分类,以确保符合 OWASP Top 10、CWE/SANS Top 25、DISA STIG 和 PCI DSS 等标准。
02使用/安装方法
安装步骤:
一、解压补丁压缩包,把fortify.license和Fortify_SCA_23.1.0_windows_x64.exe、Fortify_Apps_and_Tools_23.1.0_windows_x64.exe
放在同一目录,不要有中文。
二、安装Fortify_SCA_23.1.0_windows_x64.exe,程序会自动找到fortify.license授权文件
三、安装Fortify_Apps_and_Tools_23.1.0_windows_x64.exe,程序会自动找到fortify.license授权文件
四、把fortify-common-23.1.0.0028.jar分别拷贝到 C:\Program Files\Fortify\Fortify_SCA_23.1.0\Core\lib\
和C:\Program Files\Fortify\Fortify_Apps_and_Tools_23.1.0\Core\lib\ 下替换覆盖掉原来的
五、解压FortifyRules_zh_CH_2023.1.1.0001(离线规则库).zip 规则库,把ExternalMetadata和rules文件夹拷贝到C:\Program Files\Fortify\Fortify_SCA_23.1.0\Core\config 下
六、运行C:\Program Files\Fortify\Fortify_Apps_and_Tools_23.1.0\bin 下的auditworkbench.cmd 即可开启GUI界面
七、根据需要配置扫描即可
2、规则库
直接本地无法升级规则库,离线升级及最新中英文规则库。
注意:
否则激活不了
(REMEMBER TO PUT fortify.license IN SAME PATH OF INSTALLER)
This new version of Fortify SCA has split the UI tools from the installer and made it CLI only.
To understand how to use it, refer to the user guide online or the documentation inside installer archives.
(记住将 fortify.license 放在安装程序的同一路径中)
这个新版本的 Fortify SCA 将 UI 工具从安装程序中分离出来,仅使用 CLI。
要了解如何使用它,请参阅在线用户指南或安装程序存档中的文档。
扫描测试:
ourceanalyzer –b MyProject msbuild /t:rebuild Sample.sln
sourceanalyzer –b MyProject -scan -f MyResults.fpr
FPRUtility.bat -information -listIssues -analyzerIssueCounts -project MyResults.fpr
FPRUtility.bat -information -listIssues -categoryIssueCounts -project MyResults.fpr
E:/sdk/boost_1_82_0/boost/function/function_base.hpp:297 (Dead Code)
E:/sdk/boost_1_82_0/boost/function/function_base.hpp:297 (Poor Style: Variable Never Used)
E:/sdk/boost_1_82_0/boost/function/function_base.hpp:307 (Dead Code)
E:/sdk/boost_1_82_0/boost/locale/util.hpp:117 (Type Mismatch: Signed to Unsigned)
E:/sdk/boost_1_82_0/boost/system/detail/system_category_message_win32.hpp:92 (Dead Code)
E:/sdk/boost_1_82_0/boost/system/detail/system_category_message_win32.hpp:92 (Poor Style: Variable Never Used)
E:/sdk/boost_1_82_0/boost/system/detail/system_category_message_win32.hpp:94 (Poor Style: Variable Never Used)
update_tool.cpp:489 (Poor Style: Value Never Read)
update_tool.cpp:494 (Poor Style: Value Never Read)
获取方法
链接:https://pan.baidu.com/s/1D6Ho6sAAlLJKnXpnPQZc_Q?pwd=cbaq 提取码:cbaq
解压密码:HackTwo