Fortify扫描Qt项目
Fortify对于C++类型的代码扫描需要结合编译指令实现,但Fortify支持的C++指令并不多,所以有些类似使用Qt工具开发的项目就需要做一定调整来适配Foritfy的扫描。使用gcc或者cl级别的命令来实现会很麻烦,因为需要对于Qt的qmake工具运行逻辑有一定深入分析,熟知其生成的Makefile以来的环境和make工具,难度较大,所以更建议以Visual Studio的Fortify插件为入口,先将Qt项目转成Visual Studio项目,再使用插件扫描,这样就会容易很多。
我们简单介绍一下流程:
1、在Visual Studio中安装Qt Visual Studio Tools插件和Fortify插件。
2、在Qt插件的Qt Opt选项中配置编译套件,该套件位置可以在Qt对应版本下面,比如Qt\Qt5.12.8\5.12.8\msvc2017。
3、使用Qt插件的Open Qt Project File (.pro)...打开对应的Qt项目,并使用插件的Convert custom build steps to Qt/MSBuild选项,将项目转成vs项目,并生成对应的.vcsproj文件。
测试能成功运行后,就可以使用Fortify进行扫描了。步骤类似与上面的Android项目,即可生成对应的fpr文件。另外,如果想要使用命令来自动化的进行项目扫描,但不知道一个类型的项目如何进行适配,可以解压使用插件生成的fpr文件。查看其中audit.fvdl文件中的sun.mand属性内容,里面包含了该项目生成扫描中间文件的指令参数,可以参考了解如何配置自动化的扫描平台。
Fortify Source Code Analysis Engine(源代码分析引擎)
采用数据流分析引擎,语义分析引擎,结构分析引擎,控制流分析引擎,配置分析引擎和特有的X-Tier从不同的方面查看代码的安全漏洞,化降低代码安全风险。
Fortify Secure Code rules:Fortify(软件安全代码规则集)
采用国际公认的安全漏洞规则和众多软件安全的建议,辅助软件开发人员、安全人员和管理人员快速掌握软件安全知识、识别软件安全漏洞和修复软件安全漏洞。其规则的分类和定义被众多国际机构采用,包括美国国土安全(CWE)标准、OWASP,PCI。。。等。
Fortify Audit Workbench (安全审计工作台)
辅助开发人员、安全审计人员对Fortify Source Code Analysis Engines(源代码分析引擎)扫描结果进行快速分析、查找、定位和区分软件安全问题严重级别。
Fortify Rules Builder(安全规则构建器)
提供自定义软件安全代码规则功能,满足特定项目环境和企业软件安全的需要。
Fortify Source Code Analysis Suite plug in (Fortify SCA IDE集成开发插件)
Fortify SCA卸载(二)
根据的操作系统,键入以下命令之一:
Windows Uninstall_FortifySCAandApps_.exe --mode unattended
Unix or Linux ./n --mode unattended
macOS Uninstall_FortifySCAandApps_.app/Contents/MacOS/
–mode unattended
注意:卸载程序会删除与要卸载的Fortify Static Code Analyzer版本相关联的应用程序设置文件夹。
Uninstalling Fortify Static Code Analyzer and Applicati0ns in Text-Based Mode on Non-Windows Platforms
要以文本模式卸载Fortify静态代码分析器,请运行操作系统的文本安装命令,如下所示:
导航到安装目录。
根据操作系统,键入以下命令之一:
Unix or Linux
./n --mode text
macOS
Uninstall_FortifySCAandApps_.app/Contents/MacOS/ --mode text
以上信息由专业从事源代码检测工具fortify价格表的华克斯于2024/4/28 8:03:17发布
转载请注明来源:http://m.tz1288.com/qynews/hksxxkj-2743188219.html