Fortify 安装和使用
Fortify 安装和使用
https://blog.csdn.net/qq_51577576/article/details/128429287#Fortify_10
一、Fortify介绍
1、Fortify简介
Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。
2、Fortify原理
首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree),将其源代码之间的调用关系,执行环境,上下文等分析清楚。 通过分析不同类型问题的静态分析引擎分析NST文件,同时匹配所有规则库中的漏洞特征,将漏洞抓取出来,然后形成包含详细漏洞信息的FPR结果文件,用AWB打开查看。
3、Fortify SCA引擎介绍:
数据量引擎:跟踪、记录并分析程序中的数据传递过程所产生的安全问题。 语义引擎:分析过程中不安全的函数,方法的使用的安全问题。 结构引擎:分析程序上下文环境、结构中的安全问题。 控制流引擎:分析程序特定时间、状态下执行操作指令的安全问题。 配置引擎:分析项目配置中的敏感信息和配置确实的安全问题。
4、Fortify支持语言
FortifySCA支持的21语言,分别是:
1、asp.net
2、VB.Net
3、c#.Net
4、ASP
5、VBscript
6、VS6
7、java
8、JSP
9、javascript
10、HTML
11、XML
12、C/C++
13、PHP
14、T-SQL
15、PL/SQL
16、Action script
17、Object-C (iphone-2012/5)
18、ColdFusion5.0 - 选购
19、python -选购
20、COBOL - 选购
21、SAP-ABAP -选购
二、Fortify下载
https://pan.baidu.com/s/1p6CdHOcRhbWNLhMia1hOYg?pwd=tid3
[Fortify SCA 20.1.1.rar](E:\代码扫描\Fortify SCA 20.1.1.rar)
三、Fortify安装
1-5 点击next一路安装
6、在 选择license 界面中,选择安装包中的 fortify.license 文件
7、选择更新服务器,这里可以不用填写
8、移除之前版本选择No
9、安装实例代码项目选择No
安装完成、点击Finish及完成安装
记得把自动更新取消,我们后续会设置中文
13、替换jar包
fortify安装:安装好之后,将下载的fortify-common-20.1.1.0007.jar包替换掉fortify安装目录下的Core\lib目录下的同名包