本文介绍: Fortify全名叫Fortify SCA ,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款Web漏洞扫描器,叫做 Webinspect。美国的Fortify、Coverity、Codesecure、IBM AppScan Source 以色列的Checkmarx、加拿大的Klockwork是现在国际上比较出名的几款代码审计工具,那么接下来就Fortify介绍一下使用方法


前言

篇文章讲解代码审计工具Fortify基本用法感兴趣小伙伴可以研究学习一下,文中部分地方可能会有遗漏,麻烦各位大佬指正,深表感谢!!!


一、工具介绍

Fortify全名叫Fortify SCA ,是惠普公司HP的出品的一款源代码安全测试工具,这家公司也出品过另一款Web漏洞扫描器,叫做 Webinspect。美国的FortifyCoverityCodesecureIBM AppScan Source 以色列的Checkmarx、加拿大的Klockwork是现在国际上比较出名的几款代码审计工具,那么接下来就Fortify来介绍一下使用方法

Fortify代审工具可以快速上手的,并不是一款傻瓜工具,该工具中有很多自定义操作,还有命令行操作,同时还可以自己编写规则库(详细使用说明参考Fortify的说明)。

二、安装过程

工具安装过程较为简单打开安装包,一直点击 “下一步”,到这里选择fortify.license文件
在这里插入图片描述
接下来按照默认,一直 “下一步即可
在这里插入图片描述
安装完成打开工具界面如下所示
在这里插入图片描述

三、升级中文规则

如上工具现已安装完成接下来需要升级一下中文规则库,打开 Audit Workbench 快捷方式,在弹出gui界面点击 Options 选项然后点击 Security Content Management 选项点击 Update Security Content – zh_CN选项可以升级Fortify的中文规则库。
在这里插入图片描述
出现弹窗说明中文规则升级成功。

如果受license限制,无法升级最新规则库,那么可行的方法就是通过其他渠道获取一个最新中文规则库,手工对 ExternalMetadatarules 两个文件夹的文件进行替换

目录位置C:Program FilesFortifyFortify_SCA_and_Apps_21.2.3Coreconfig
在这里插入图片描述
最新版两个文件夹替换,在回软件中看 Security Content Management 配置,Version信息最新日期即为替换成功。

四、代码审计过程

如果是java项目,可直接点击 Scan Java Project选项
在这里插入图片描述
弹窗java version可以选择web应用java代码的所在环境java版本这里我们选择 1.8
在这里插入图片描述
如果扫描对象是Java Web代码,就选择 Yes,如果不是Java Web,就选择 No
其他的选项保持默认即可
在这里插入图片描述
接下来点击 Scan,Fortify就开始对代码进行代码审计了。
在这里插入图片描述
扫描完成后,Fortify工具将扫描结果显示界面上,如下图所示
在这里插入图片描述

五、代码审计结果

Fortify的 Diagram 功能非常强大,以图表形式展示源代码漏洞触发点的从开始到触发的所有过程,我们可以借助功能分析是否过滤函数漏洞触发特殊字符进行了过滤
在这里插入图片描述
同时在 Recommendations 这里给出了中文漏洞修补建议
在这里插入图片描述
点击 Group By 按钮可以不同漏洞分类标准对漏洞进行不同的分类展示
在这里插入图片描述
如果代审过程中遇到误报,可以选择Hide in AWB ,对该漏洞结果进行隐藏
在这里插入图片描述
代码完成后,需要生成报告点击Tools -> Reports -> Generate BIRT Report/ Generate Legacy -> 选择生成报告类型以及导出格式
在这里插入图片描述
这个功能导出报告可以作为参考,但是实际代码审计报告还是需要自行编写

六、中文乱码解决

Fortify默认编码不是UTF-8 ,导致部分中文的Java代码会出现乱码问题,如果是单文件乱码,可以使用 Edit选项卡 Set Encoding 进行设置鼠标光标右侧代码框内点击一下,否则此项功能不能用,但这种方法只适用于单个文件的乱码解决
在这里插入图片描述
点击 Set Encoding 弹出文本编码框,可看到不同文本编码可选,中文则选择 UTF-8 编码。
在这里插入图片描述
上面刚刚提到这个方法只适用于单个文件,如果想一劳永逸解决乱码问题需要在Fortify的配置文件指定java文件的编码了。

C:Program FilesFortifyFortify_SCA_and_Apps_21.2.3Coreprivate-binawb 路径下有一个 productlaunch.cmd 的文件。在命令最后添加 -Dfile.encoding=utf-8
在这里插入图片描述
编辑保存,重新启动软件即可!!!


以上就是代码审计工具Fortify的基本用法,后续会更新Fortify在代码审计中的各种操作以及审计流程

本文到此结束,感谢您的观看!!!


原文地址:https://blog.csdn.net/weixin_46944519/article/details/128932122

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_35106.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注