让 SAP “一眼倾心”,Fortify 的魅力难以抗拒!
基于 SAP 的产品安全战略要求,开发过程中的静态分析要确保所有应用程序的安全性与抗击网络威胁的能力,从而保护客户和公司的业务安全。Micro Focus Fortify 是助其成功的关键因素。
SAP 用自主维护的静态分析工具来分析以专有 ABAP 语言编写的应用程序。但对于 Java(ABAP 后 SAP 蕞常用的编程语言),公司决定采纳第三方的服务。他们的选择是行业的leader——Micro Focus Fortify,现在,SAP 已将 Fortify 完全整合到他们的开发全生命周期之中。
于是,SAP 与 Fortify 一起设计和实施了应用静态分析的综合解决方案,即基于 Fortify 软件安全中心(SSC)和 Fortify 静态代码分析器(SCA)的综合解决方案,以 Java、C#、JSP 等语言为主。
Fortify 审计
Fortify扫描后生成的fpr文件,就是我们审计的目标。Fortify会将源码信息和识别到的风险记录下来。
使用Fortify Audit Workbench打开文件后;左上角的小窗口会列出所有识别出来的潜在风险,双击即可查看对应位置代码。这里是一个在日志中打印IMEI的风险项,左下角可以看到整个数据链路,了解数据的传递路径。视图中上位置是代码窗口,可以看到已经将危险代码标识出来。如果代码窗口中的中文显示乱码,往往是因为Fortify默认的解析字节码是GBK,可以在选中代码文件后,点击Edit->Set Encoding...选项,设置正确的编码方式即可。中下位置则是对于规则的介绍,协助安全工程师确定问题,识别风险。右侧的则是所有依赖的代码的路径。
在我们审计过程中,如果发现问题是误报,可以右键风险项,选择Hide in AWB,即可隐藏误报问题。
然后是生成报告,我们可以选择生成两种报告:
BIRT是统计报告,可以按照不同标准显示各种类型风险的统计信息。也可以选择一些我们认定是误报的项,是否显示。
Legacy表示信息的留存,该报告会将各风险项的信息依次打印出来,可以提供给业务确认风险。
在 Fortify SCA 转换阶段,该文件夹会变成蓝色,且文件会添加到类路径中:
选择项目的 Java 版本。
输入 Build ID。默认情况下,Build ID 为根目录。
输入 Fortify SCA 在分析阶段生成的 FPR 的路径和文件名。
单击 Next(下一步)。
系统会显示“Commandline Builder(命令行构建器)”对话框。
命令构建器
要跳过某一阶段,请取消勾选 Enable Clean(启用清除)、Enable Translation(启用转换)或 Enable Scan(启用扫描)复选框。
以上信息由专业从事源代码审计工具fortify服务商的华克斯于2025/8/25 15:12:08发布
转载请注明来源:http://szhou.mf1288.com/hksxxkj-2883628254.html
