Fortify 代码扫描安装使用教程

前言

    Fortify 能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。为实现高效安全监测,Fortify具有源代码安全分析,可精准定位漏洞产生的路径,以及具有1分钟1万行的扫描速度。
    Fortify SCA 支持丰富的开发环境、语言、平台和框架,可对开发与生产混合环境进行安全检查。 27 种编程语言 超过 911,000 个组件级 API 可检测超过 961 个漏洞类别 支持所有主流平台、构建环境和 IDE

  • 对开发人员友好的语言覆盖范围 -- 支持 ABAP/BSP、ActionScript、Apex、ASP.NET、C# (.NET)、C/C++、Classic ASP(含 VBScript)、COBOL、ColdFusion CFML、Go、HTML、Java(包括 Android)、JavaScript/AJAX、JSP、Kotlin、MXML(Flex)、Objective C/C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic 和 XML
  • 支持的 IDE -- Eclipse、IntelliJ Ultimate、IntelliJ Community Android Studio、IBM Rational Application Developer、IBM Rational Software Architect、Microsoft Visual Studio
  • 支持的构建工具 -- Ant、Jenkins、Maven、MSBuild、Xcodebuild
  • 支持的缺陷管理平台 -- Jira、ALM、Bugzilla
  • 支持的代码管理工具 -- Git、SVN、TFS
  • 漏洞覆盖范围,包括 1000 多个 SAST 漏洞分类,以确保符合 OWASP Top 10、CWE/SANS Top 25、DISA STIG 和 PCI DSS 等标准。

正文

百度网盘资源,需要自取
链接: https://pan.baidu.com/s/1UsY2Jv7HpMPKLXzHW5YSKA密码: 3qt7
下载好安装包后,双击安装应用程序

点击Next进行下一步
在这里插入图片描述
接受协议,点击Next
在这里插入图片描述
选择安装位置或者默认位置,点击Next
在这里插入图片描述
勾选你要安装的插件,点击Next下一步
在这里插入图片描述
选择\fortify.license,点击下一步
在这里插入图片描述
选择更新服务器,这里可以不用填写
在这里插入图片描述
移除之前版本选择No
在这里插入图片描述
安装实例代码项目选择No
在这里插入图片描述
准备安装,点击Next即可进行安装
在这里插入图片描述
在这里插入图片描述
安装完成后需要把规则库下的文件解压或者复制到安装目录的Core\config下
在这里插入图片描述
在这里插入图片描述
应用程序搜索Scan Wizard,双击Audit Workbench启动
在这里插入图片描述
在这里插入图片描述
点击选择Advanced Scan,选要扫描的源代码
在这里插入图片描述
如果扫的是比较大的一些项目,代码文件比较大,可以选择拆开一个文件夹一个文件夹的去扫,这样也会快一点
在这里插入图片描述
点击Next
在这里插入图片描述
点击configure rulepacks选择要扫描的选项,根据自己的情况而定
在这里插入图片描述
在这里插入图片描述
选择配置内存大小,扫码过程中常见的情况是内存不足导致带不动,可以考虑换台配置高的或者增加虚拟内存大小
在这里插入图片描述
在这里插入图片描述
根据情况而选定
在这里插入图片描述
接下来点击scan即可进行扫描
在这里插入图片描述

扫描完成后,会弹出通知框,可以查看是否存在错误

在这里插入图片描述
点击OK,就可以查看报告了在这里插入图片描述
可以点击选择结果查看问题,会自动定位到有问题的代码位置
在这里插入图片描述
也可以通过属性查看问题详情
在这里插入图片描述
在这里插入图片描述
点击Reports可将报告导出到本地,可选择导出的内容和样式
在这里插入图片描述

posted @ 2022-04-01 19:27  回忆式~过去  阅读(2733)  评论(0编辑  收藏  举报