Fortify SCA 是 Fortify SSC 解决方案的一部分,通过获奖的静态分析,对源代码进行漏洞检测。包括识别安全漏洞的根本原因,将原因按严重程度排序,并就漏洞修复提供详细的代码行指导。
Fortify SCA 能帮助企业确保他们的软件是值得信赖的,减少发现和修复应用程序漏洞的成本,并为安全编码建立基础。
Fortify扫描Android项目
使用插件扫描是一个比较推荐的方式,因为操作简单,且环境可靠不需要重新配置。
首先肯定是获取插件,我们需要从安装Fortify开始。如果已经安装了也不要紧,直接点击安装到原有目录即可,Fortify会自动适配的。安装步骤基本都使用默认选项,但是在选择组件的环节,我们要记得勾选上我们需要的插件。
上图中红框是给Android Studio使用的插件,是本小节需要使用到的。第二个红框则是一个Visual Studio的插件,后面会用到,这里可以先勾选一下(但要记得Visual Studio的插件只能在Visual Studio已存在时安装,版本也不要选错)。安装后,可以在Fortify安装目录下的plugins\IntelliJAnalysis目录中找到我们需要的插件。
然后是第二步,将插件安装到Android Studio上。在Android Studio中打开插件的界面,选择设置的图标,然后选择Install Plugin from Disk...选项,选中前面说到的插件文件。然后重启Android Studio即可生效。
生效后我们可以在Android Studio的标题栏中找到Fortify选项,在Fortify->Analysis Settings...选项中,我们可以配置该插件扫描源码的规则和配置。
蕞后,我们点击Fortify->Analyze Project选项,即可扫描项目并在项目的根目录生成fpr文件
Fortify “Analysis Trace(分析跟踪)”面板:当您选择某个问题后,Analysis Trace(分析跟踪)面板会显示相关的 trace output。通常情况下,这是一系列进程点,显示了分析器是如何找到该问题的。对于数据流和控制流问题,这一系列点会以执行顺序显示。
例如,如果您选择某个与可能被数据流相关的问题,Analysis Trace(分析跟踪)面板会显示这段源代码中数据流的移动方向。
“Analysis Trace(分析跟踪)”面板使用以下图标来显示本段源代码中数据流的移动方式:
表 1:分析跟踪图标
Fortify相比codeql的优势在于:
商用工具,拥有许多预设规则,比较成熟。规则开发模式比较局限,但是对于某些特定场景的规则开发相对简单。适合大规模规则的扫描。
Fortify是一款商业级的源码扫描工具,其工作原理和codeql类似,甚至一些规则编写的语法都很相似。
HP Fortify SCA采用的X-Tier数据流程分析技术,完整分析各种程序语言之执行流程、数据输入/输出及程序语法,即使同一个应用系统中包含了不同语言的源代码,也可以完整分析及串接。透过HP Fortify SCA持续更新的检查规则(Rulepack),让蕞新的弱点可以被发现并修补,使用者也可以自行定义审计规则,针对特殊程序编写规则或要求进行检查。
以上信息由专业从事源代码扫描工具fortify扫描的华克斯于2025/5/4 10:11:11发布
转载请注明来源:http://www.zhizhuke.cn/qyzx/qyxx-2859812262.html
