Fortify SCA 主要特性
1、覆盖大部分对友好的语言,支持:
ABAP/BSP、Apex、、C# (.NET)、C/ C++、Classic、ASP(与 VBScript)、COBOL、ColdFusion CFML、Go、HTML、Java(包括 Android)、JavaScript/AJAX、JSP、Kotlin、MXML (Flex)、Objective C/ C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic 和 XML 等
2、 灵活的部署选项适应团队开发环境,
比如:Fortify On Demand 允许团队在完全基于 SaaS 的环境中工作;Fortify Hosted 通过在隔离的虚拟环境中工作,完全控制用户数据,为您提供 SaaS 和内部部署的效果;Fortify On-Prem 允许团队对增强解决方案的所有方面有的控制权。
3、 安全助理,为开发人员提供实时的代码、安全分析和结果。
它提供了结构和配置分析器,这些分析器是专门为速度和效率而建立的,以支持我们即时的安全反馈工具;安全助理只在 IDE (包括 Microsoft Visual Studio、Eclipse 和 IntelliJ 等) 中查找高可信度——所有真实阳性或假阳性概率非常低——的结果。
安全助理还可以作为开发人员的额外工作助手,与静态扫描结合使用,帮助获得更的安全问题视图。目前,所有 Fortify SCA 和Fortify On-Prem SCA 的客户无需额外的许可证或费用,即可使用安全助理。
Fortify SCA快速入门
规则库导入:
所有的扫描都是基于规则库进行的,因此,建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\Core\config\rules文件夹下,拷贝后便为扫描建立了默认的规则库。另外,你也可以自定义规则,这些内容将会在以后逐一介绍。
建立和执行扫描任务:
我们分别通过Java、.Net C#和C/C++三类不同编程语言项目来介绍如何快速建立和执行扫描任务:
Java项目:
Fortify SCA对于Java项目的支持是做得蕞好的,建立扫描入口的路径选择非常多,常用的方法是直接执行HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\bin\d,启动审计工作台就可以直接对Java项目进行静态扫描;另外也可以使用Fortify SCA插件,集成嵌入Eclipse来完成开发过程中的实时扫描;当然,你也可以使用原生的命令行工具完成全部工作,我们这里介绍一个通用的方法,即利用ScanWizard工具导入你的源码项目,通过一系列设置后,会生成一个批处理脚本文件,通过批处理代替手工输入执行命令进行测试。
使用HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\bin\d启动ScanWizard工具:
Fortify审计界面概述
下图显示了“Auditing(审计)”界面中的 Webgoat FPR 文件示例。
Audit Workbench 界面:
Audit Workbench 界面由以下几个面板组成:
“Issues(问题)”面板
“Analysis Trace(分析跟踪)”面板
“Project Summary(项目摘要)”面板
“Source Code Viewer(源代码查看器)”面板
“Function(函数)”面板
“Issue Auditing(问题审计)”面板
“Issues(问题)”面板
使用 Issues(问题)面板,您可以对希望审计的问题进行分组和选择。该面板由下列元素组成:
“Filter Set(过滤器组)”下拉列表
“Folders(文件夹)”选项卡
Group by(分组方式)
“Search(搜索)”框
以上信息由专业从事源代码审计工具fortify扫描的华克斯于2025/3/15 13:35:23发布
转载请注明来源:http://szhou.mf1288.com/hksxxkj-2848552505.html
