代码---:fortify sca使用指南
静态代码分析器sca(static code ---yzer):包含多种语言的安全相关的规则,而对于这些规则相关的违反状况则是sca重点确认的内容。sca可以做到快速准确定位修正场所,源代码扫描工具fortify,同时还可以定制安全规则。
在使用上sca主要按照如下步骤进行:
步骤1: 单独运行sca或者将sca与构建工具进行集成
步骤2: 将代码转换为临时的中间格式
步骤3: 对转换的中间格式的代码进行扫描,生成安全合规性的报告
步骤4: 对结果进行审计,一般通过使用fortify audit workbench打开fpr(fortify project results)文件或者将结果上传至ssc(fortify software security ws=)来进行分析,从而直接看到蕞终的结果信息
fortify相比codeql的优势在于:
商用工具,拥有许多预设规则,比较成熟。规则开发模式比较局限,但是对于某些特定场景的规则开发相对简单。适合---规则的扫描。
fortify是一款商业级的源码扫描工具,其工作原理和codeql类似,甚至一些规则编写的语法都很相似。
hp fortify sca采用的x-tier数据流程分析技术,完整分析各种程序语言之执行流程、数据输入/输出及程序语法,即使同一个应用系统中包含了不同语言的源代码,也可以完整分析及串接。透过hp fortify sca持续更新的检查规则(rulepack),源代码扫描工具fortify哪里有卖,让蕞新的弱点可以被发现并修补,使用者也可以自行定义审计规则,针对特殊程序编写规则或要求进行检查。
c/c++源码扫描系列- fortify 篇
环境搭建
本文的分析方式是在 linux 上对源码进行编译、扫描,然后在 windows 平台对扫描结果进行分析,所以涉及 windows 和 linux 两个平台的环境搭建。
windows搭建
首先双击 fortify_sca_and_apps_20.1.1_windows_x64--- 安装
安装完成后,源代码扫描工具fortify服务商,把 fortify-common-20.1.1.0007.jar 拷贝 core﹨lib 进行,然后需要把 rules 目录的规则文件拷贝到安装目录下的 core﹨config﹨rules 的路径下,该路径下保存的是fortify的默认规则库。
externalmetadata 下的文件也拷贝到 core﹨config﹨externalmetadata 目录即可
执行 auditworkbench.cmd 即可进入分析源码扫描结果的ide.
华克斯信息-源代码扫描工具fortify由苏州华克斯信息科技有限公司提供。行路致远,---。苏州华克斯信息科技有限公司致力成为与您共赢、共生、共同前行的---,更矢志成为行业软件具有竞争力的企业,与您一起飞跃,共同成功!
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713a2.zhaoshang100.com/zhaoshang/284165535.html
关键词:
滇公网安备 53011202000392号