Fortify SCA 扫描
Fortify SCA 的结果文件为.FPR文件,包括详细的漏洞信息:漏洞分类,漏洞产生的全路径,漏洞所在的源代码行,漏洞的详细说明及修复建议等。
1、首先清除上一次扫描的缓存:
sourceanalyzer -b SCG-AuthCenter -clean
2、扫描、编译源码,需要执行依赖的jar包文件和源文件:
sourceanalyzer -encoding UTF-8 -Xmx1024M -b DMC -cp 'D:/code/cct/DMC/src/main/webapp/WEB-INF/lib/**/*.jar' -source 1.6 'D:/code/cct/DMC/src/main/java/**/*.java'
3、生成fpr文件:
4、生成pdf文件:
代码质量利器:Fortify SCA使用指南
静态代码分析器SCA(Static Code Analyzer):包含多种语言的安全相关的规则,而对于这些规则相关的违反状况则是SCA重点确认的内容。SCA可以做到快速准确定位修正场所,同时还可以定制安全规则。
在使用上SCA主要按照如下步骤进行:
步骤1: 单独运行SCA或者将SCA与构建工具进行集成
步骤2: 将代码转换为临时的中间格式
步骤3: 对转换的中间格式的代码进行扫描,生成安全合规性的报告
步骤4: 对结果进行审计,一般通过使用Fortify Audit Workbench打开FPR(Fortify Project Results)文件或者将结果上传至SSC(Fortify Software Security Center)来进行分析,从而直接看到蕞终的结果信息
Fortify SCA使用
2.1安装完成后桌面没有快捷方式的话,点击左下角windows图片输入 au,源代码扫描工具fortify工具,点击运行即可。
注意事项
2.2如果打开后出现弹窗点击按钮后出现错误提示的话
2.3 替换安装目录的许可证文件后重新打开软件即可
需要注意的是目录为安装目录,不是压缩包解压目录
2.4 选择java项目或者自动识别项目类型,这里以自动识别项目类型举例,上海fortify工具,点击后选中代码目录。
2.5 选择完目录后运行可能会提示是否更新规则包,点击是。
2.6 规则更新完成后会弹出配置本次扫描的弹窗
无特殊配置的话一路next蕞后点击扫描,等待扫描完成。
2.7 导出扫描报告
扫描完成后即可查看扫描出的问题,点击tools ->reports -> 即可生成pdf报告
源代码扫描工具fortify工具-苏州华克斯信息由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展,目前华克斯在行业软件中享有良好的声誉。华克斯取得全网商盟认证,标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展,共创美好未来。
