介紹
Fortify SCA是一個靜態源代碼安全測試工具。它通過內置的五大主要分析引擎對源代碼進行靜態的分析和檢測,分析的過程中與其特有的軟件安全漏洞規則集進行全面地匹配、查找,從而將源代碼中存在的安全漏洞掃描出來,並整理生成完整的報告。掃描的結果中不但包括詳細的安全漏洞的信息,還會有相關的安全知識的說明,並提供相應的修復建議。Fortify SCA支持超過25種開發語言,可檢測770個獨特的漏洞類別,並擁有超過970,000個組件級API。
參考:https://blog.csdn.net/tyu1853/article/details/103891069
運行 ${Fortify_Home}/bin/auditworkbench.cmd啓動Fortify界面
安裝成功
規則庫添加將2017Q1_EN.zip解壓到/core/config/rules中。
參考:https://mp.weixin.qq.com/s/OuZFGEnPwavCBHrfsEK0IQ
導入需要代碼審計的文件,出來結果會有報錯,忽略即可。
下載地址:
•HPE_Security_Fortify_SCA_and_Apps_17.10_Windows 鏈接:https://pan.baidu.com/s/1HzigpMQHxYOg_MiY06nqYg 提取碼:agdk
•HPE_Security_Fortify_SCA_and_Apps_16.10_Mac.tar.gz 鏈接: https://pan.baidu.com/s/1Loixy8iKI6ClTZhxMvLgag 提取碼: 3tau
下載地址是網上百度到的, 侵刪。
17.10版本
爲大家帶來HPE_Security_Fortify_SCA_and_Apps_17.10_Windows和HPE_Security_Fortify_SCA_and_Apps_16.10_Mac的license版本,license到期時間爲2032年,對應的規則包也是17年的。Fortify軟件就是大名鼎鼎的白盒工具,目前不提供試用,最新版本是19.1.0。現在大家都使用同一套license放置在foritify的按照目錄下,所以只要找到安裝包,就可以複用license使用。經測試該license不支持python語言,掃描JavaScript代碼有時候會卡死,不支持升級,但是掃描能力方面卓越、不需要更改系統時間,可導出報告。