源代码审计工具fortify扫描-华克斯-fortify扫描

fortify sca快速入门

规则库导入：

所有的扫描都是基于规则库进行的，源代码审计工具fortify扫描，因此，建立扫描任务的前提条件就是你需要把检查规则拷贝到hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨core﹨config﹨rules文件夹下，源代码检测工具fortify扫描，拷贝后便为扫描建立了默认的规则库。另外，你也可以自定义规则，这些内容将会在以后逐一介绍。

建立和执行扫描任务：

我们分别通过java、.net c#和c/c++三类不同编程语言项目来介绍如何快速建立和执行扫描任务：

java项目：

fortify sca对于java项目的支持是做得蕞好的，建立扫描入口的路径选择非常多，常用的方法是直接执行hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨bin﹨auditworkbench.cmd，源代码扫描工具fortify扫描，启动审计工作台就可以直接对java项目进行静态扫描；另外也可以使用fortify sca插件，集成嵌入eclipse来完成开发过程中的实时扫描；当然，你也可以使用原生的命令行工具完成全部工作，我们这里介绍一个通用的方法，即利用scanwizard工具导入你的源码项目，通过一系列设置后，会生成一个批处理---文件，通过批处理代替手工输入执行命令进行测试。

使用hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨bin﹨scanwizard.cmd启动scanwizard工具：

fortify常见问题解决方法

内存不足问题

在应用fortify sca实施源代码扫描过程中内存不足是分析器（source---yzer）经常报出的一类问题，如下：

扫描过程中：

1、com.fortify.sca.---yzer.abortedexception: there is not enough memory available

2、to complete ---ysis.  for details on --- more memory available；

there were 3 problems with insufficient memory. results may be incomplete.

因此，我们必须对jvm参数进行调整，增加虚拟器内存大小。

（1）确认安装64位的fortify sca程序；（这是一个众所周知的jvm问题，32为虚拟机内存大小及其有限）；

（2）安装一个64位的jre，并将其替换hp_fortify﹨hp_fortify_sca_and_apps_3.80﹨的jre目录（就算你安装了64位的fortify sca程序，该程序默认的jre仍然是32位的）；