Fortify常见问题解决方法
.Net环境匹配问题
由于Fortify SCA版本对于支持.Net环境的版本有限,比如蕞大支持到Microsoft SDK 7.0A
版本的SDK,如下脚本:
1、echo Searching VS Version....
2、reg QUERY "HKLM\SOFTWARE\Microsoft\Microsoft SDKs\Windows\v7.0A" 2>NUL >NUL
3、IF %ERRORLEVEL%==0 (
4、set LAUNCHERSWITCHES=-vsversion 10.0 %LAUNCHERSWITCHES%
5、echo Found .NET 4.0 setting to VS version 10.0
6、GOTO VSSELECTED
通过Windows注册表中的SDK信息设置扫描依赖版本;
而且,由于Windows版本和.Net Framework版本的差异,环境上往往需要自己增加许多配置项,蕞常见的配置如下:
(1)SDK版本设置:
比如是8.1版本的,我们可以修改脚本文件:
reg QUERY "HKLM\SOFTWARE\Microsoft\Microsoft SDKs\Windows\v8.1A" 2>NUL >NUL
(2)ildasm路径设置
Unable to locate ildasm是一个常见问题,在转换中没有寻找到ildasm程序,可以通过以下方法设置:
1、fortify-perties文件增加一行com.a.IldasmPath=C:\Program Files (x86)\Microsoft SDKs\Windows\v8.1A\bin\NETFX 4.5.1 Tools\ildasm(一定是双斜杠)
Fortify “Issue Auditing(问题审计)”面板:
“Issue Auditing(问题审计)”面板在以下一组选项卡中提供了有关各问题的详细信息:
Summary(摘要)
Details(详细信息)
Recommendat(建议)
History(历史记录)
Diagram(图示)
Filter(过滤器)
注意:使用选项)- Show View(显示视图)菜单可显示或隐藏“Issue Auditing(问题审计)”面板中的选项卡。
Fortify Summary(摘要):
Summary(摘要)选项卡显示了关于当前所选问题的以下信息:
问题审计面板中的摘要选项卡
下表描述了“Summary(摘要)”面板中的各个选项:
Details(详细信息):
Details(详细信息)选项卡提供了有关所选问题的详细说明,并提供了用于解决该问题的指导方针。每项说明均包括下表中所述的部分或全部栏目。
Recommendat(建议)
“Recommendat(建议)”选项卡包含有关如何避免引发该漏洞或修改该漏洞方法的建议与示例。
History(历史记录)
显示完整的审计操作列表,其中包括以下详细信息:日期和时间、执行审计的计算机以及修正该问题的用户名称。
C/C++源码扫描系列- Fortify 篇
环境搭建
Linux搭建
解压的压缩包,然后执行 ./Fortify_SCA_and_Apps_19.2.n 按照引导完成安装即可,安装完成后进入目录执行sourceanalyzer来查看是否安装完成
然后将 rules 和 ExternalMetadata 拷贝到对应的目录中完成规则的安装。
Fortify的工作原理和codeql类似,首先会需要使用Fortify对目标源码进行分析提取源代码中的信息,然后使用规则从源码信息中查询出匹配的代码。
以上信息由专业从事源代码检测工具fortify采购的华克斯于2025/1/15 22:32:19发布
转载请注明来源:http://szhou.mf1288.com/hksxxkj-2835400744.html
上一条:卓蓝减速机图片值得信赖「汉弗瑞」
