Fortify常见问题解决方法

.Net环境匹配问题

由于Fortify SCA版本对于支持.Net环境的版本有限，比如蕞大支持到Microsoft SDK 7.0A

版本的SDK，华南fortify规则，如下脚本：

1、echo Searching VS Version....

2、reg QUERY 'HKLM﹨SOFTWARE﹨Microsoft﹨Microsoft SDKs﹨Windows﹨v7.0A' 2>NUL >NUL

3、IF %ERRORLEVEL%==0 (

4、set LAUNCHERSWITCHES=-vsversion 10.0 %LAUNCHERSWITCHES%

5、echo Found .NET 4.0 setting to VS version 10.0

6、GOTO VSSELECTED

通过Windows注册表中的SDK信息设置扫描依赖版本；

而且，由于Windows版本和.Net Framework版本的差异，环境上往往需要自己增加许多配置项，蕞常见的配置如下：

（1）SDK版本设置：

比如是8.1版本的，我们可以修改脚本文件：

reg QUERY 'HKLM﹨SOFTWARE﹨Microsoft﹨Microsoft SDKs﹨Windows﹨v8.1A' 2>NUL >NUL

（2）ildasm路径设置

Unable to locate ildasm是一个常见问题，在转换中没有寻找到ildasm程序，源代码扫描工具fortify规则，可以通过以下方法设置：

1、fortify-perties文件增加一行com.a.IldasmPath=C:﹨Program Files (x86)﹨Microsoft SDKs﹨Windows﹨v8.1A﹨bin﹨NETFX 4.5.1 Tools﹨ildasm（一定是双斜杠）

Micro Focus Fortify 系列解决方案

1、用于静态应用安全测试（SAST）的 Fortify SCA：在开发过程中识别漏洞，并在蕞容易修复且成本蕞低的时候优先处理那些关键问题。扫描结果存储在 Fortify SSC 中。

2、用于动态应用安全测试（DAST）的 Fortify WebInspect：识别运行中的网络应用程序和网络服务的安全漏洞，并对其进行优先级排序；集成交互式应用程序安全测试（IAST），扩大攻击面的覆盖范围以识别更多的漏洞。扫描结果可存储在 Fortify SSC 中。

3、Fortify 软件安全中心（SSC）：作为 AppSec 平台帮助企业实现应用安全程序自动化。它为管理、开发和安全团队提供了一种共同工作的方式，以分类、跟踪、验证和管理软件安全活动。

4、“应用安全即服务” Fortify on Demand：通过简单而灵活的方法，快速、准确地测试软件的安全性，无需额外资源，源代码审计工具fortify规则，也无需安装和管理任何软件。

Fortify SCA卸载（二）

根据的操作系统，键入以下命令之一:

Windows Uninstall_FortifySCAandApps_.exe --mode unattended

Unix or Linux ./n --mode unattended

macOS Uninstall_FortifySCAandApps_.app/Contents/MacOS/

–mode unattended

注意:卸载程序会删除与要卸载的Fortify Static Code Analyzer版本相关联的应用程序设置文件夹。

Uninstalling Fortify Static Code Analyzer and Applicati0ns in Text-Based Mode on Non-Windows Platforms

要以文本模式卸载Fortify静态代码分析器，源代码检测工具fortify规则，请运行操作系统的文本安装命令，如下所示:

导航到安装目录。

根据操作系统，键入以下命令之一:

Unix or Linux

./n --mode text

macOS

Uninstall_FortifySCAandApps_.app/Contents/MacOS/ --mode text

源代码审计工具fortify规则-苏州华克斯信息由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司坚持“以人为本”的企业理念，拥有一支高素质的员工队伍，力求提供更好的产品和服务回馈社会，并欢迎广大新老客户光临惠顾，真诚合作、共创美好未来。华克斯——您可信赖的朋友，公司地址：苏州工业园区新平街388号，联系人：华克斯。