代码质量利器:Fortify SCA使用指南
静态代码分析器SCA(Static Code Analyzer):包含多种语言的安全相关的规则,而对于这些规则相关的违反状况则是SCA重点确认的内容。SCA可以做到快速准确定位修正场所,同时还可以定制安全规则。
在使用上SCA主要按照如下步骤进行:
步骤1: 单独运行SCA或者将SCA与构建工具进行集成
步骤2: 将代码转换为临时的中间格式
步骤3: 对转换的中间格式的代码进行扫描,生成安全合规性的报告
步骤4: 对结果进行审计,一般通过使用Fortify Audit Workbench打开FPR(Fortify Project Results)文件或者将结果上传至SSC(Fortify Software Security Center)来进行分析,从而直接看到蕞终的结果信息
Fortify扫描Qt项目
Fortify对于C++类型的代码扫描需要结合编译指令实现,源代码扫描工具fortify 价格,但Fortify支持的C++指令并不多,所以有些类似使用Qt工具开发的项目就需要做一定调整来适配Foritfy的扫描。使用gcc或者cl级别的命令来实现会很麻烦,因为需要对于Qt的qmake工具运行逻辑有一定深入分析,熟知其生成的Makefile以来的环境和make工具,难度较大,所以更建议以Visual Studio的Fortify插件为入口,fortify 价格,先将Qt项目转成Visual Studio项目,再使用插件扫描,这样就会容易很多。
我们简单介绍一下流程:
1、在Visual Studio中安装Qt Visual Studio Tools插件和Fortify插件。
2、在Qt插件的Qt Opt选项中配置编译套件,该套件位置可以在Qt对应版本下面,比如Qt﹨Qt5.12.8﹨5.12.8﹨msvc2017。
3、使用Qt插件的Open Qt Project File (.pro)...打开对应的Qt项目,并使用插件的Convert custom build steps to Qt/MSBuild选项,将项目转成vs项目,并生成对应的.vcsproj文件。
测试能成功运行后,就可以使用Fortify进行扫描了。步骤类似与上面的Android项目,即可生成对应的fpr文件。另外,如果想要使用命令来自动化的进行项目扫描,但不知道一个类型的项目如何进行适配,可以解压使用插件生成的fpr文件。查看其中audit.fvdl文件中的sun.mand属性内容,里面包含了该项目生成扫描中间文件的指令参数,可以参考了解如何配置自动化的扫描平台。
Fortify SCA基本功能
1、能对软件源代码进行的检测和分析,源代码扫描工具fortify 价格,准确的发现源代码中存在的安全漏洞和质量问题,并提供问题的有效解决建议。帮助开发人员快速的完成漏洞修复及提高应用的安全性。
2、软件能从多维度分析源代码,包括但不限于:
数据流引擎:跟踪, 记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎:分析程序中不安全的函数,源代码审计工具fortify 价格, 方法的使用的安全问题。
结构引擎:分析程序上下文环境, 结构中的安全问题。
控制流引擎:分析程序特定时间, 状态下执行操作指令的安全问题。
配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全问题
源代码扫描工具fortify 价格-华克斯信息由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司坚持“以人为本”的企业理念,拥有一支高素质的员工队伍,力求提供更好的产品和服务回馈社会,并欢迎广大新老客户光临惠顾,真诚合作、共创美好未来。华克斯——您可信赖的朋友,公司地址:苏州工业园区新平街388号,联系人:华克斯。