最近接触到一款代码审计的工具 --- Fortify SCA and Applications 22.2.0,现就其基本使用做一简单介绍!

Fortify是一个应用安全测试软件,是Micro Focus旗下AST(应用程序安全测试)产品。
Fortify能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能,包括静态代码分析器(SAST)、动态应用安全测试软件(DAST)、软件安全中心(SSC)和实时应用程序自我保护(RASP)。
Fortify具有以下特点:

  • 源代码安全分析,精准定位漏洞产生的路径。
  • 具有1分钟1万行的扫描速度。
  • 启发式扫描,探索应用程序中的潜在风险。
  • 云端支持,提供更加智能的代码分析服务。

工具安装与简单配置

工具在Windows系统上安装非常简单,不停的点击“下一步”即可完成。安装完成后,创建的程序组包括4个快捷方式,如下图所示:

程序组

  • Audit Workbench:审计工作台
  • Custom Rules Editor:自定义规则编辑器
  • Fortify Software Documentation:在线文档
  • Scan Wizard:扫描向导

升级中文规则库

打开Audit Workbench,点击菜单“Options-->Options...”,

升级中文规则库

1.点击“Security Content Management”,在“Update Security Content from Server”区的Locale中选择“Simplified Chinese”,点击“Update”按钮,完成后如下图所示:

升级中文规则库成功

如果受license限制,无法升级到最新的规则库,那么可行的方法就是通过其他渠道获取一个最新的中文规则库,手工对 ExternalMetadata 及 rules 两个文件夹的文件进行替换。
目录位置:

C:\Program Files\Fortify\Fortify_SCA_and_Apps_22.2.0\Core\config

代码扫描

Fortify支持很多语言扫描,其中对Java支持最好,操作简单。

  • 启动 Audit Workbench

扫描

  • 点击“Scan Java Project...”,选定Java项目文件夹,

JDK版本

  • 选定JDK版本

扫描参数

  • 确定扫描参数,点击“Scan”开始代码扫描。

审计结果

扫描结束后,结果自动导入到 Audit Workbench,扫描出的问题分为4个等级:

  • Critical:严重
  • Hign:高
  • Medium:中
  • Low:低

对于每一个问题,可以在Audit区域进行审计操作,Analysis分为:

  • Not an Issue:误报
  • Reliability Issue:可靠性问题
  • Bad Practice:不良行为
  • Suspicious:可疑的
  • Exploitable:可利用的

可以查看问题的详细说明以及处理建议,也可以导出PDF或XML格式的报告。如下图所示:

结果审计


以上就是代码审计工具Fortify的基本用法。

本文到此结束,感谢您的观看!!!

posted on 2023-07-11 20:48  超然楼  阅读(1278)  评论(0编辑  收藏  举报