2023年5月17日 星期三

Fortify 代码扫描安装使用教程

 Fortify 代码扫描安装使用教程


回忆式~过去.


已于 2022-09-14 17:07:10 修改


19956

 收藏 72

分类专栏: 安全测试 工具 测试 文章标签: 安全 测试工具

版权


安全测试

同时被 3 个专栏收录

6 篇文章5 订阅

订阅专栏


工具

13 篇文章0 订阅

订阅专栏


测试

14 篇文章5 订阅

订阅专栏

前言

    Fortify 能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。为实现高效安全监测,Fortify具有源代码安全分析,可精准定位漏洞产生的路径,以及具有1分钟1万行的扫描速度。

    Fortify SCA 支持丰富的开发环境、语言、平台和框架,可对开发与生产混合环境进行安全检查。 27 种编程语言 超过 911,000 个组件级 API 可检测超过 961 个漏洞类别 支持所有主流平台、构建环境和 IDE


对开发人员友好的语言覆盖范围 – 支持 ABAP/BSP、ActionScript、Apex、ASP.NET、C# (.NET)、C/C++、Classic ASP(含 VBScript)、COBOL、ColdFusion CFML、Go、HTML、Java(包括 Android)、JavaScript/AJAX、JSP、Kotlin、MXML(Flex)、Objective C/C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic 和 XML

支持的 IDE – Eclipse、IntelliJ Ultimate、IntelliJ Community Android Studio、IBM Rational Application Developer、IBM Rational Software Architect、Microsoft Visual Studio

支持的构建工具 – Ant、Jenkins、Maven、MSBuild、Xcodebuild

支持的缺陷管理平台 – Jira、ALM、Bugzilla

支持的代码管理工具 – Git、SVN、TFS

漏洞覆盖范围,包括 1000 多个 SAST 漏洞分类,以确保符合 OWASP Top 10、CWE/SANS Top 25、DISA STIG 和 PCI DSS 等标准。

正文

百度网盘资源,需要自取

链接: https://pan.baidu.com/s/1UsY2Jv7HpMPKLXzHW5YSKA密码: 3qt7

下载好安装包后,双击安装应用程序



点击Next进行下一步


接受协议,点击Next


选择安装位置或者默认位置,点击Next


勾选你要安装的插件,点击Next下一步


选择\fortify.license,点击下一步


选择更新服务器,这里可以不用填写


移除之前版本选择No


安装实例代码项目选择No


准备安装,点击Next即可进行安装



安装完成后需要把规则库下的文件解压或者复制到安装目录的Core\config下



应用程序搜索Scan Wizard,双击Audit Workbench启动



点击选择Advanced Scan,选要扫描的源代码


如果扫的是比较大的一些项目,代码文件比较大,可以选择拆开一个文件夹一个文件夹的去扫,这样也会快一点


点击Next


点击configure rulepacks选择要扫描的选项,根据自己的情况而定



选择配置内存大小,扫码过程中常见的情况是内存不足导致带不动,可以考虑换台配置高的或者增加虚拟内存大小



根据情况而选定


接下来点击scan即可进行扫描



扫描完成后,会弹出通知框,可以查看是否存在错误



点击OK,就可以查看报告了

可以点击选择结果查看问题,会自动定位到有问题的代码位置


也可以通过属性查看问题详情



点击Reports可将报告导出到本地,可选择导出的内容和样式



版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文链接:https://blog.csdn.net/qq_41648820/article/details/116937035

————————————————

版权声明:本文为CSDN博主「回忆式~过去.」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/qq_41648820/article/details/116937035