最近接觸到一款代碼審計的工具 --- Fortify SCA and Applications 22.2.0,現就其基本使用做一簡單介紹!
Fortify是一個應用安全測驗軟體,是Micro Focus旗下AST(應用程式安全測驗)產品,
Fortify能夠提供靜態和動態應用程式安全測驗技術,以及運行時應用程式監控和保護功能,包括靜態代碼分析器(SAST)、動態應用安全測驗軟體(DAST)、軟體安全中心(SSC)和實時應用程式自我保護(RASP),
Fortify具有以下特點:
- 源代碼安全分析,精準定位漏洞產生的路徑,
- 具有1分鐘1萬行的掃描速度,
- 啟發式掃描,探索應用程式中的潛在風險,
- 云端支持,提供更加智能的代碼分析服務,
工具安裝與簡單配置
工具在Windows系統上安裝非常簡單,不停的點擊“下一步”即可完成,安裝完成后,創建的程式組包括4個快捷方式,如下圖所示:
- Audit Workbench:審計作業臺
- Custom Rules Editor:自定義規則編輯器
- Fortify Software Documentation:在線檔案
- Scan Wizard:掃描向導
升級中文規則庫
打開Audit Workbench,點擊選單“Options-->Options...”,
1.點擊“Security Content Management”,在“Update Security Content from Server”區的Locale中選擇“Simplified Chinese”,點擊“Update”按鈕,完成后如下圖所示:
如果受license限制,無法升級到最新的規則庫,那么可行的方法就是通過其他渠道獲取一個最新的中文規則庫,手工對 ExternalMetadata 及 rules 兩個檔案夾的檔案進行替換,
目錄位置:
C:\Program Files\Fortify\Fortify_SCA_and_Apps_22.2.0\Core\config
代碼掃描
Fortify支持很多語言掃描,其中對Java支持最好,操作簡單,
- 啟動 Audit Workbench
- 點擊“Scan Java Project...”,選定Java專案檔案夾,
- 選定JDK版本
- 確定掃描引數,點擊“Scan”開始代碼掃描,
審計結果
掃描結束后,結果自動匯入到 Audit Workbench,掃描出的問題分為4個等級:
- Critical:嚴重
- Hign:高
- Medium:中
- Low:低
對于每一個問題,可以在Audit區域進行審計操作,Analysis分為:
- Not an Issue:誤報
- Reliability Issue:可靠性問題
- Bad Practice:不良行為
- Suspicious:可疑的
- Exploitable:可利用的
可以查看問題的詳細說明以及處理建議,也可以匯出PDF或XML格式的報告,如下圖所示:
以上就是代碼審計工具Fortify的基本用法,
本文到此結束,感謝您的觀看!!!
本文來自博客園,作者:超然樓,轉載請注明原文鏈接:https://www.cnblogs.com/soft1314/p/17545908.html
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/557026.html
標籤:其他
下一篇:返回列表