Fortify扫描Qt项目
Fortify对于C++类型的代码扫描需要结合编译指令实现,但Fortify支持的C++指令并不多,所以有些类似使用Qt工具开发的项目就需要做一定调整来适配Foritfy的扫描。使用gcc或者cl级别的命令来实现会很麻烦,因为需要对于Qt的qmake工具运行逻辑有一定深入分析,熟知其生成的Makefile以来的环境和make工具,难度较大,所以更建议以Visual Studio的Fortify插件为入口,先将Qt项目转成Visual Studio项目,再使用插件扫描,这样就会容易很多。
我们简单介绍一下流程:
1、在Visual Studio中安装Qt Visual Studio Tools插件和Fortify插件。
2、在Qt插件的Qt Opt选项中配置编译套件,该套件位置可以在Qt对应版本下面,比如Qt\Qt5.12.8\5.12.8\msvc2017。
3、使用Qt插件的Open Qt Project File (.pro)...打开对应的Qt项目,并使用插件的Convert custom build steps to Qt/MSBuild选项,将项目转成vs项目,并生成对应的.vcsproj文件。
测试能成功运行后,就可以使用Fortify进行扫描了。步骤类似与上面的Android项目,即可生成对应的fpr文件。另外,如果想要使用命令来自动化的进行项目扫描,但不知道一个类型的项目如何进行适配,可以解压使用插件生成的fpr文件。查看其中audit.fvdl文件中的sun.mand属性内容,里面包含了该项目生成扫描中间文件的指令参数,可以参考了解如何配置自动化的扫描平台。
Fortify SCA扫描功能分析
1、能够跟踪的输入数据,直到该数据被不安全使用的全过程中,分析数据使用中的安全隐患。
2、安全漏洞分析需拥有目前业界和的代码漏洞规则库,能够检测的漏洞类型不少于948种。
3、支持检测业界的代码安全漏洞,工具能够支持检测的漏洞必须依从于的和规范,如OWASP Th 10 2017、 PCI DSS、PCI SSF、GDPR、MISRA、DISA、FISMA、CWE、SANS25等。
4、漏洞扫描规则支持客户自定义,同时需提供友好的图形化的自定义向导和编辑器,自动生成规则脚本。
Fortify SCA 卸载(一)
About Uninstalling Fortify Static Code Analyzer and Applicati0ns
本节描述如何卸载增强的静态代码分析器和应用程序。可以使用标准安装向导,也可以静默执行卸载。还可以在非windows系统上执行基于文本的卸载。
本节包含以下主题:
Uninstalling Fortify Static Code Analyzer and Applicati0ns
Start > Control Panel > Add or Remove Programs.
Fortify SCA and Applicati0ns , and then click Remove.
系统会提示您是否删除所有应用程序设置。做以下任何一件事:
单击Yes删除与要卸载的Fortify Static Code Analyzer版本相关的工具的应用程序设置文件夹。未删除Fortify静态代码分析器(sca)文件夹。
单击No保留系统上的应用程序设置。
Uninstalling on Other Platforms
位于<sca_install_dir>中的卸载命令:
Unix or Linux Uninstall_FortifySCAandApps.exe
macOS Uninstall_FortifySCAandApps_.app
单击Yes删除与要卸载的Fortify Static Code Analyzer版本相关的工具的应用程序设置文件夹。未删除Fortify静态代码分析器(sca)文件夹。
单击No保留系统上的应用程序设置。
Uninstalling Fortify Static Code Analyzer and Applicati0ns Silently
导航到安装目录。
以上信息由专业从事源代码扫描工具fortify 价格的华克斯于2025/6/15 9:27:25发布
转载请注明来源:http://www.zhizhuke.cn/qyzx/hksxxkj-2869257204.html
下一条:没有了
