Fortify SCA 优势
1、 扫描快又准
• 在开发早期就捕获了大部分代码相关性问题;
• 识别并消除源代码、二进制代码或字节代码中的漏洞;
• 支持 27 种编程语言中 815 种的漏洞类别,并跨越超过 100 万个独立的 API;
•在 OWASP 1.2b 基准测验中,真实阳性率为,证明了高度的准确性。
2、CI/CD 管道中的安全自动化
• 识别和优先处理构成威胁的漏洞,快速降低风险;
• 与CI/CD 工具充分集成,包括 Jenkins, ALM Octane, Jira, Atlassian Bamboo, Azure DevOps, Eclipse 和 Microsoft Visual Studio 等;
• 实时审查扫描结果并获得访问建议,通过代码行导航更快地发现漏洞和与审计开展协作。
3、节约开发时间和成本
• 嵌入 SDLC 后,开发时间和成本平均降低 25%,且早期修复漏洞成本比制作/发布后阶段低 30 倍;
• 发现漏洞数是原来的 2 倍,误报率降低 95%;(数据来源:《Micro Focus Fortify 2017 商业价值可持续交付》)
• 通过在开发人员工作时对他们进行静态应用安全测试培训,满足安全编码实践要求。
Fortify SCA 集成生态
1、 灵活的部署选项 支持“应用安全即服务”、内部或云端部署
2、集成开发环境(IDE) Eclipse、Visual Studio、JetBrains(包括 IntelliJ)
3、 CI/CD工具 Jenkins、Bamboo、Visual Studio、Gradle、Make、Azure DevOps、GitHub、GitLab、Maven、MSBuild
4、 问题 Bugzilla, Jira, ALM Octane
5、开源安全管理 Sonatype, Snyk, WhiteSource, BlackDuck
6、 代码库 GitHub, Bitet
7、 定制的 Swaggerized API
Fortify代码扫描使用教程
1、进入Fortify安装目录,再进入bin目录,双击d启动程序
2、打开扫描窗口,点击Scan Java Project
3、选择要扫描的项目目录,点击确定按钮
4、弹出java代码版本选择窗口,选择版本后,点击OK
5、弹出审计向导窗口,点击Scan按钮开始扫描
6、扫描开始,等待扫描结束,等待时间根据项目大小而定,可能时间会很长
7、扫描结束后,显示扫描结果。
C/C++源码扫描系列- Fortify 篇
环境搭建
本文的分析方式是在 Linux 上对源码进行编译、扫描,然后在 Windows 平台对扫描结果进行分析,所以涉及 Windows 和 Linux 两个平台的环境搭建。
Windows搭建
首先双击 Fortify_SCA_and_Apps_20.1.1_windows_x64.exe 安装
安装完成后,把 fortify-common-20.1.1.0007.jar 拷贝 Core\lib 进行,然后需要把 rules 目录的规则文件拷贝到安装目录下的 Core\config\rules 的路径下,该路径下保存的是Fortify的默认规则库。
ExternalMetadata 下的文件也拷贝到 Core\config\ExternalMetadata 目录即可
执行 d 即可进入分析源码扫描结果的IDE.
以上信息由专业从事源代码审计工具fortify版本的华克斯于2025/5/4 17:59:57发布
转载请注明来源:http://www.zhizhuke.cn/qyzx/qyxx-2859952722.html
