Fortify system命令执行检测

除了使用 DataflowSourceRule 、DataflowSinkRule 等规则来定义污点跟踪相关的属性外，Fortify还支持使用 CharacterizationRule 来定义污点跟踪相关的特性。

Fortify在编译/分析代码过程中会把代码中的元素（代码块、类、表达式、语句等）通过树状结构体组装起来形成一颗 structural tree，然后扫描的时候使用 Structural Analyzer 来解析 StructuralRule ，蕞后输出匹配的代码。

下面以一个简单的示例看看 structural tree 的结构，示例代码如下

Fortify安装使用简易教程

Fortify SCA是一个静态源代码安全测试工具。它通过内置的五大主要分析引擎对源代码进行静态的分析和检测，分析的过程中与其特有的软件安全漏洞规则集进行地匹配、查找。

好安装包后，源代码检测工具fortify，双击安装应用程序

点击Next进行下一步

接受协议，源代码检测工具fortify版本，点击Next

选择安装位置或者默认位置，点击Next

勾选你要安装的插件，点击Next下一步

选择﹨cense，点击下一步

选择更新服务器，源代码检测工具fortify扫描，这里可以不用填写

Fortify SCA 扫描

Fortify SCA 的结果文件为.FPR文件，源代码检测工具fortify工具，包括详细的漏洞信息：漏洞分类，漏洞产生的全路径，漏洞所在的源代码行，漏洞的详细说明及修复建议等。

1、首先清除上一次扫描的缓存：

sourceanalyzer -b SCG-AuthCenter -clean

2、扫描、编译源码，需要执行依赖的jar包文件和源文件：

sourceanalyzer -encoding UTF-8 -Xmx1024M -b  DMC  -cp 'D:/code/cct/DMC/src/main/webapp/WEB-INF/lib/**/*.jar' -source 1.6 'D:/code/cct/DMC/src/main/java/**/*.java'

3、生成fpr文件：

4、生成pdf文件：

苏州华克斯-源代码检测工具fortify版本由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司在行业软件这一领域倾注了诸多的热忱和热情，华克斯一直以客户为中心、为客户创造价值的理念、以品质、服务来赢得市场，衷心希望能与社会各界合作，共创成功，共创辉煌。相关业务欢迎垂询，联系人：华克斯。