Fortify SCA安装使用

一、前言:

         Fortify是Micro Focus旗下AST (应用程序安全测试)产品 ,其产品组合包括:Fortify Static Code Analyzer提供静态代码分析器(SAST),Fortify WebInspect是动态应用安全测试软件(DAST),Software Security Center是软件安全中心(SSC)和 Application Defender 是实时应用程序自我保护(RASP)。
         Fortify 能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能。为实现高效安全监测,Fortify具有源代码安全分析,可精准定位漏洞产生的路径,以及具有1分钟1万行的扫描速度。

         Fortify SCA 支持丰富的开发环境、语言、平台和框架,可对开发与生产混合环境进行安全检查。 27 种编程语言 超过 911,000 个组件级 API 可检测超过 961 个漏洞类别 支持所有主流平台、构建环境和 IDE

  • 对开发人员友好的语言覆盖范围 – 支持 ABAP/BSP、ActionScript、Apex、ASP.NET、C# (.NET)、C/C++、Classic ASP(含 VBScript)、COBOL、ColdFusion CFML、Go、HTML、Java(包括 Android)、JavaScript/AJAX、JSP、Kotlin、MXML(Flex)、Objective C/C++、PHP、PL/SQL、Python、Ruby、Swift、T-SQL、VB.NET、VBScript、Visual Basic 和 XML
  • 支持的 IDE – Eclipse、IntelliJ Ultimate、IntelliJ Community Android Studio、IBM Rational Application Developer、IBM Rational Software Architect、Microsoft Visual Studio
  • 支持的构建工具 – Ant、Jenkins、Maven、MSBuild、Xcodebuild
  • 支持的缺陷管理平台 – Jira、ALM、Bugzilla
  • 支持的代码管理工具 – Git、SVN、TFS
  • 漏洞覆盖范围,包括 1000 多个 SAST 漏洞分类,以确保符合 OWASP Top 10、CWE/SANS Top 25、DISA STIG 和 PCI DSS 等标准。

二、下载(百度网盘)

       链接:https://pan.baidu.com/s/1F6BvOIqXWldo5pGF2_6P_w
       提取码:qwxi
三、安装

1、将下载的压缩包解压(解压后如下图)

    

 2、双击Fortify_SCA_and_Apps_19.1.0_windows_x64.exe进行安装

      

3、弹出安装导向,点击Next

      

4、选择“I accept the agreement”后,点击Next

      

 5、选择一个安装目录,点击Next

      

 6、选择安装的模块,点击Next

       

7、读取Fortify中的fortify.license文件,点击Next

     

 8、设置更新服务器,点击Next

    

9、SCA Migration(移除之前版本)页面选择No,点击Next

   

10、Samples页面选择Yes,点击Next

   

 11、Ready to Install(准备安装)页面,点击Next

   

 12、Finish  

   

四、使用

1、将安装包中的规则复制到安装目录Core\config\文件夹下

 

 

 

 2、打开Fortify,两种方式

        方式一:   进入安装目录,打开bin文件夹,双击auditworkbench.cmd

     

      方式二:在win开始菜单中,双击Audit Workbench

      

 3、选择静态代码所在目录,进行扫描

     

如果扫的是比较大的一些项目,代码文件比较大,可以选择拆开一个文件夹一个文件夹的去扫,这样也会快一点

点击Next

点击configure rulepacks选择要扫描的选项,根据自己的情况而定

选择配置内存大小,扫码过程中常见的情况是内存不足导致带不动,可以考虑换台配置高的或者增加虚拟内存大小

根据情况而选定

接下来点击scan即可进行扫描

扫描完成后,会弹出通知框,可以查看是否存在错误

点击OK,就可以查看报告了

可以点击选择结果查看问题,会自动定位到有问题的代码位置

也可以通过属性查看问题详情

 

 

点击Reports可将报告导出到本地,可选择导出的内容和样式

 

 

posted on 2022-06-23 15:54  uestc2007  阅读(3429)  评论(0编辑  收藏  举报

导航