前言
Fortify SCA 支持豐富的開發環境、語言、平臺和框架,可對開發與生產混合環境進行安全檢查。25 種編程語言 超過 911,000 個組件級 API 可檢測超過 961 個漏洞類別 支持所有主流平臺、構建環境和 IDE。
Fortify SCA是一款商業軟件,價格較為昂貴,因此我只找到了一個早期的版本進行試用。因為是商業軟件,它有詳細的使用文檔,查閱非常方便。它支持一些IDE的插件功能,在安裝的時候會有選項。
Fortify SCA的代碼審計功能依賴于它的規則庫文件,我們可以下載更新的規則庫,然后放置在安裝目錄下相應的位置。bin文件放置在安裝目錄下Coreconfigrules文件夾,xml文件放置在CoreconfigExternalMetadata文件夾(如果該文件夾沒有則新建一個)。
打開Audit Workbench,點擊Start New Project->Advanced Scan選項就可以快速開始一個審計任務。選擇需要審計的應用程序根目錄,在Additional Options選項中選擇使用的規則庫,在Audit Guide提出的四個問題中選擇對應的選項,點擊Run Scan即可。
支持的編程語言:
使用/安裝方法
安裝步驟:
一、解壓補丁壓縮包,把fortify.license和Fortify_SCA_24.2.0_windows_x64.exe、Fortify_Apps_and_Tools_24.2.0_windows_x64.exe放在同一目錄,不要有中文。二、安裝Fortify_SCA_24.2.0_windows_x64.exe,程序會自動找到fortify.license授權文件三、安裝Fortify_Apps_and_Tools_24.2.0_windows_x64.exe,程序會自動找到fortify.license授權文件四、把fortify-common-24.2.0.0028.jar分別拷貝到 C:\Program Files\Fortify\Fortify_SCA_24.2.0\Core\lib\和C:\Program Files\Fortify\Fortify_Apps_and_Tools_24.2.0\Core\lib\ 下替換覆蓋掉原來的五、解壓Fortify_Secure_Coding_Rules_v2024.4.0.0009(離線規則庫).zip 規則庫,把ExternalMetadata和rules文件夾拷貝到C:\Program Files\Fortify\Fortify_SCA_24.2.0\Core\config 下六、運行C:\Program Files\Fortify\Fortify_Apps_and_Tools_24.2.0\bin 下的auditworkbench.cmd 即可開啟GUI界面七、根據需要配置掃描即可2、規則庫直接本地無法升級規則庫,離線升級及最新中英文規則庫。
注意:
否則激活不了
(REMEMBER TO PUT fortify.license IN SAME PATH OF INSTALLER)
This new version of Fortify SCA has split the UI tools from the installer and made it CLI only.
To understand how to use it, refer to the user guide online or the documentation inside installer archives.
(記住將 fortify.license 放在安裝程序的同一路徑中)
這個新版本的 Fortify SCA 將 UI 工具從安裝程序中分離出來,僅使用 CLI。
要了解如何使用它,請參閱在線用戶指南或安裝程序存檔中的文檔。
掃描測試:
ourceanalyzer?–b?MyProject?msbuild?/t:rebuild?Sample.slnsourceanalyzer –b MyProject -scan -f MyResults.fprFPRUtility.bat -information -listIssues -analyzerIssueCounts -project MyResults.fprFPRUtility.bat -information -listIssues -categoryIssueCounts -project MyResults.fprE:/sdk/boost_1_82_0/boost/function/function_base.hpp:297 (Dead Code)E:/sdk/boost_1_82_0/boost/function/function_base.hpp:297 (Poor Style: Variable Never Used)E:/sdk/boost_1_82_0/boost/function/function_base.hpp:307 (Dead Code)E:/sdk/boost_1_82_0/boost/locale/util.hpp:117 (Type Mismatch: Signed to Unsigned)E:/sdk/boost_1_82_0/boost/system/detail/system_category_message_win32.hpp:92 (Dead Code)E:/sdk/boost_1_82_0/boost/system/detail/system_category_message_win32.hpp:92 (Poor Style: Variable Never Used)E:/sdk/boost_1_82_0/boost/system/detail/system_category_message_win32.hpp:94 (Poor Style: Variable Never Used)update_tool.cpp:489 (Poor Style: Value Never Read)update_tool.cpp:494 (Poor Style: Value Never Read)
獲取鏈接:
https://pan.quark.cn/s/b12f7e7b96c6
)
![[金盾杯 2024] PWN 復現](http://pic.xiahunao.cn/[金盾杯 2024] PWN 復現)
)
問題及改進方法:中英雙語)