Fortify SCA如何使用!
安装fortify之后,打开
界面:
选择扫描
他问要不要更新? 如果你购买了可以选择YES。
选择之后出现如下界面
浏览意思是:扫描之后保存的结果保存在哪个路径。
然后点击下一步。
参数说明:
1、enable clean :把上一次的扫描结果清楚,除非换一个build ID,不然中间文件可能对下一次扫描产生影响。
2、enable translation: 转换,把源码代码转换成nst文件
3、64: 是扫描64位的模式,sca默认扫描是32位模式。
4、-Xmx4000m:4000M大概是4G,制定内存数-Xmx4G :也可以用G定义这个参数建议加
5、-encoding: 定制编码,UTF-8比较全,工具解析代码的时候字符集转换的比较好,建议加,如果中文注释不加会是乱码。
6、-diable-source-:rendering:不加载与漏洞无关的代码到审计平台上,不建议加,这样代码显示不全。
C/C++源码扫描系列- Fortify 篇
环境搭建
本文的分析方式是在 Linux 上对源码进行编译、扫描,然后在 Windows 平台对扫描结果进行分析,所以涉及 Windows 和 Linux 两个平台的环境搭建。
Windows搭建
首先双击 Fortify_SCA_and_Apps_20.1.1_windows_x64.exe 安装
安装完成后,把 fortify-common-20.1.1.0007.jar 拷贝 Core\lib 进行,然后需要把 rules 目录的规则文件拷贝到安装目录下的 Core\config\rules 的路径下,该路径下保存的是Fortify的默认规则库。
ExternalMetadata 下的文件也拷贝到 Core\config\ExternalMetadata 目录即可
执行 d 即可进入分析源码扫描结果的IDE.
Foritfy SCA主要包含的五大分析引擎:
数据流引擎:跟踪,记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎:分析程序中不安全的函数,方法的使用的安全问题。
结构引擎:分析程序上下文环境,结构中的安全问题。
控制流引擎:分析程序特定时间,状态下执行操作指令的安全问题。
配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全问题。
特有的X-Tier™:跨跃项目的上下层次,贯穿程序来综合分析问题。
Fortify SCA扫描结果展示
2.根据历史的人工漏洞审计信息进行扫描报告合并如果我们的项目在以前做过fortify sca的扫描,并经过开发人员或安全人员审计,那么历史的审计信息可以沿用,每个漏洞都有一个编号instance ID,已经审计过确认是误报的漏洞是不会重复出现的。报告合并我们可以通过fortify ssc或者fortify sca的命令行或者图形界面操作。
3.利用大数据分析和机器学习做漏洞误报屏蔽目前这是正在探索的一个方向,但这个方式需要大量可靠的漏洞审计样本,如果样本少的话会很难操作。
以上信息由专业从事源代码检测工具fortify版本的华克斯于2024/5/1 7:15:49发布
转载请注明来源:http://szhou.mf1288.com/hksxxkj-2744806774.html
