Fortify SCA 扫描
Fortify SCA 的结果文件为.FPR文件,包括详细的漏洞信息:漏洞分类,漏洞产生的全路径,漏洞所在的源代码行,漏洞的详细说明及修复建议等。
1、首先清除上一次扫描的缓存:
sourceanalyzer -b SCG-AuthCenter -clean
2、扫描、编译源码,需要执行依赖的jar包文件和源文件:
sourceanalyzer -encoding UTF-8 -Xmx1024M -b DMC -cp "D:/code/cct/DMC/src/main/webapp/WEB-INF/lib/**/*.jar" -source 1.6 "D:/code/cct/DMC/src/main/java/**/*.java"
3、生成fpr文件:
4、生成pdf文件:
Fortify “Source Code Viewer(源代码查看器)”面板:
“Source Code Viewer(源代码查看器)”面板显示了与在“Issues(问题)”面板中选择的问题相关联的代码段。如果“Analysis Trace(分析跟踪)”面板中的多个节点代表一个问题,则“Source Code Viewer(源代码查看器)”面板会显示与所选节点相关联的代码。
在“Source Code Viewer(源代码查看器)”面板中,您可以使用代码辅助功能创建自定义规则和新问题,如下所示:
要为某个函数创建规则,请将光标放在该函数中,单击鼠标右键,然后选择 Write Rule for This Function(为此函数编写规则)。
要创建新问题,请将光标放在该函数中,单击鼠标右键,然后选择 Create New Issue(创建新问题)。
在 Fortify SCA 转换阶段,该文件夹会变成蓝色,且文件会添加到类路径中:
选择项目的 Java 版本。
输入 Build ID。默认情况下,Build ID 为根目录。
输入 Fortify SCA 在分析阶段生成的 FPR 的路径和文件名。
单击 Next(下一步)。
系统会显示“Commandline Builder(命令行构建器)”对话框。
命令构建器
要跳过某一阶段,请取消勾选 Enable Clean(启用清除)、Enable Translation(启用转换)或 Enable Scan(启用扫描)复选框。
Fortify SCA 卸载(一)
About Uninstalling Fortify Static Code Analyzer and Applicati0ns
本节描述如何卸载增强的静态代码分析器和应用程序。可以使用标准安装向导,也可以静默执行卸载。还可以在非windows系统上执行基于文本的卸载。
本节包含以下主题:
Uninstalling Fortify Static Code Analyzer and Applicati0ns
Start > Control Panel > Add or Remove Programs.
Fortify SCA and Applicati0ns , and then click Remove.
系统会提示您是否删除所有应用程序设置。做以下任何一件事:
单击Yes删除与要卸载的Fortify Static Code Analyzer版本相关的工具的应用程序设置文件夹。未删除Fortify静态代码分析器(sca)文件夹。
单击No保留系统上的应用程序设置。
Uninstalling on Other Platforms
位于<sca_install_dir>中的卸载命令:
Unix or Linux Uninstall_FortifySCAandApps.exe
macOS Uninstall_FortifySCAandApps_.app
单击Yes删除与要卸载的Fortify Static Code Analyzer版本相关的工具的应用程序设置文件夹。未删除Fortify静态代码分析器(sca)文件夹。
单击No保留系统上的应用程序设置。
Uninstalling Fortify Static Code Analyzer and Applicati0ns Silently
导航到安装目录。
以上信息由专业从事源代码扫描工具fortify规则库的华克斯于2024/5/18 10:40:15发布
转载请注明来源:http://www.zhizhuke.cn/qyzx/hksxxkj-2754685769.html