Advertisement

Fortify-SCA扫描工具使用指南。

  •  5星
  •     浏览量: 0
  •     大小:None
  •      文件类型:None

简介:
本说明手册为实际工作提供了指导,内容清晰易懂。Fortify SCA 分析原理涵盖 Front-End、第三方 IDE、Java、Pug-In、C/C++、MicroSO LNET、IBM.eclipse Audit Workbench、PLSQL、XML 分析引擎、语义分析 (fdi/ fpr)、全局数据流、N 控制流配置以及 Structural Fortify Manager 和 NSTRules Builder。此外,还包括自定义预打包的 FORTIFY 和 Fortify SCA 分析过程,SCA Engine 中间扫描阶段,以及利用分析器处理事务 (NST) 的规则分析结果文件构建 ID 阶段一:转换阶段(Translation),阶段二:分析阶段(Scan sourceanalyzer)。扫描源文件使用 analyzer-b ,设置内存大小 -Xmx1250m,并执行扫描功能 -scan -f results fpr。Fortify SCA 扫描的工作环境包括 Visual Studio、Eclipse 和 IBM RAD 等,以及 Audit Workbench 用于 Java、.Net 等平台。Global Build Tool C/C++ 分析和 JSP Touchless Build 配合 Fortify PL/SQL IDE 中间 FPRTSOL Model 冷命令行界面 Fusion 引擎与 Fortify I m Manager 安全编码规则以及 Fortify Customized Rules 的规则集。Fortify SCA 扫描的五种方式包括插件方式(Eclipse, VS WS AD, RAD),命令行方式和审计工作台扫描文件夹等其他工具集成方式(Scan with ANt, Makefile)以及编译监控器方式(Fortify SCA Build Monitor)。Fortify SCA 扫描的四个步骤分别是:1. Clean (清除阶段: sourceanalyzer -b proName -clean),2. Translation (转换阶段),3. Show-fe (查看阶段: sourceanalyzer -b proName -show-files),4. Scan (扫描阶段: sourceanalyzer -b proName -Xmx1250m -scan -f proName. fpr)。Fortify SCA 命令行参数说明提供了解析扫描命令及参数的途径,例如 sourceanalyzer --help。版权信息表明 Fortify Source Code Analyze 是 Copyright (c) 2003-2006 Fortify Software 的所有权。Java 使用 sourceanalyzer -b 和 sourceanalyzer -b javac 进行源代码转换;C/C++ 使用 sourceanalyzer -b 以及 NET 使用 sourceanalyzer -b 进行源代码转换。转换 J2EE 应用使用 Find bugs 并转换 .NET Versions 1.1 and 2.0 Visual studio .net version 2003 o Visual studio .net version 2005 以及 CC++ 代码和 PL/SQLITSQL 代码。输出选项包括格式控制 (-format ),有效选项有 auto, fpr, fvdl, text,默认值为 auto。文件指定符包括 darna盈e, dx己盈e吉/古, dx22盈e吉/,ava 以及 d工22a盈e吉/,ava 。构建项目名称是 build-project ,项目标签是 build-lable1, 项目版本是 build-version .

全部评论 (0)

还没有任何评论哟~
客服
客服
客服关闭
  • Fortify-SCA-手册.pdf
    优质
    本手册为《Fortify-SCA扫描工具指南》,详细介绍Fortify SCA静态代码分析工具的功能、操作流程及使用技巧,旨在帮助开发者快速掌握并有效应用该工具。 Fortify扫描工具的使用手册对实际工作具有指导意义,并且讲解清晰。 ### Fortify SCA分析原理 - **前端**: 第三方IDE、Java插件、C/C++等。 - **后端**: - 分析引擎: 包括语义模型(Semantic)、全局数据流和控制流配置。 - 结构性:Fortify Manager, STRules builder,自定义规则以及预包装的FORTIFY。 ### Fortify SCA分析过程 1. 转换阶段 (Translation) 2. 扫描阶段 (Scan) 转换命令示例: ``` sourceanalyzer-b -clean sourceanalyzer -b sourceanalyzer-b -Xmx1250m-scan-f results fpr ``` ### Fortify SCA扫描方式 - 插件方式: Eclipse, Visual Studio等。 - 命令行方式: 通过命令执行分析操作。 - 扫描目录方式: 使用Audit Workbench进行文件夹级别的扫描。 - 集成其他工具的方式:如与Ant或Makefile集成使用。 - 编译监控器方式: Fortify SCA Build Monitor。 ### 四个步骤 1. 清除阶段 2. 转换阶段 3. 查看阶段(sourceanalyzer -b proName -show-files) 4. 扫描阶段(sourceanalyzer-b proName -Xmx1250m -scan -f proName.fpr) ### 命令行参数说明 查看命令和参数: ``` sourceanalyzer --help ``` 输出选项: - `-format `:控制结果格式。有效选项包括auto,fpr, fvdl 和 text,默认为自动。 转换Java代码示例命令语法: ``` sourceanalyzer -b -cp ``` ### 文件指定器 文件指定器描述了如何定位和处理源码文件: - `dirname`:在命名目录及其子目录中查找所有文件。 - `dxname/Example.java`: 查找名为 Example.java 的特定文件。 - `dxxname/*.java`: 在给定的目录下寻找所有的 .java 文件。 以上是Fortify SCA转换和分析Java源代码的基本命令行语法。
  • Fortify SCA 安装与使
    优质
    本指南详述了Fortify Static Code Analyzer (SCA)的安装步骤及基础操作方法,帮助开发者轻松进行代码安全检测。 Fortify SCA是目前市场上最全面的源代码白盒安全测试工具之一,能够精确地定位到代码级别的安全问题,并且可以完全自动化地完成测试。它拥有广泛的安全漏洞规则库,可以从多个维度分析源代码的安全性。
  • Fortify 使
    优质
    《Fortify使用指南》旨在为用户详细介绍如何有效利用Fortify工具进行软件安全测试与代码审查。本书涵盖从基础操作到高级技巧的所有内容,帮助开发者提升应用的安全性与稳定性。 Fortify提供了一套简明教程,帮助用户快速入门并有效测试代码的安全性。它是一款强大的软件工具,适用于提升应用程序的防护能力。
  • Fortify SCA 20.1.1代码审计下载
    优质
    Fortify SCA 20.1.1是一款强大的静态代码分析软件,帮助企业识别和修复应用程序中的安全漏洞,保障软件质量与安全性。 Fortify代码审计工具的静态代码分析器(SCA)支持26种编程语言中的1,019个漏洞类别,并涵盖了超过一百万个单独的API。
  • 代码审查利器Fortify - Fortify SCA 20.1.1
    优质
    Fortify SCA 20.1.1是一款强大的代码审查工具,能够帮助开发者在软件开发过程中识别和修复安全漏洞,确保应用程序的安全性。 Fortify 是一款静态白盒代码安全测试工具。它利用五个主要分析引擎——数据流、语义、结构、控制流及配置流来对应用软件的源代码进行深度静态分析,通过与内置的安全漏洞规则库匹配,识别并报告潜在的安全问题。 在使用过程中,首先需要将前端语言代码(如Java或C/C++)转换为中间表示文件NST(Normal Syntax Tree),这个过程帮助解析和理解源码间的调用关系、执行环境及上下文。接着,通过静态分析引擎对NST文件进行深入剖析,并与漏洞规则库匹配以发现潜在的安全问题。 最终生成包含详细安全信息的FPR结果文件,用户可以通过AWB工具查看这些报告来了解具体的代码安全状况和修复建议。
  • Fortify-SCA-v24.2.0 更新版
    优质
    Fortify SCA v24.2.0更新版提供了增强的安全性分析功能和性能改进,帮助企业有效识别并修复应用程序中的安全漏洞。 Fortify SCA 支持多种开发环境、语言、平台及框架,并能对混合的开发与生产环境进行安全检查。它支持25种编程语言,超过911,000个组件级API,能够检测到超过961个漏洞类别。此外,该软件适用于所有主流平台、构建环境和集成开发环境(IDE)。 Fortify SCA是一款商业化的软件产品,因此价格相对较高。我只试用了较早的一个版本。作为一款商用工具,它提供了详尽的使用文档,并且查找起来非常方便。另外,此软件支持一些IDE插件功能,在安装过程中会有相应选项供用户选择。 Fortify SCA 的代码审查功能主要依赖于其内置规则库文件。我们可以下载更新后的规则库并将其放置在适当的目录中:bin 文件应放在安装路径下的 Coreconfigrules 目录下;xml 文件则需要存放到 CoreconfigExternalMetadata 目录(若该目录不存在,需自行创建)。
  • 美能达C266 FTP设置及使
    优质
    本指南详细介绍了如何为美能达C266设备配置FTP扫描设置,并提供了相关实用工具的操作方法,帮助用户高效管理文档。 美能达C266FTP扫描设置与使用FTP工具的方法。
  • Fortify问题汇总
    优质
    本资料汇集了使用Fortify工具进行代码安全检测时遇到的问题及解决办法,旨在帮助开发者快速定位并修复软件中的安全隐患。 fortify扫描问题总结主要集中在系统安全方面。在进行代码审查的过程中,通过使用fortify工具发现了多个潜在的安全漏洞,这些问题需要被及时修复以提升系统的安全性。这些发现的问题包括但不限于敏感信息泄露、授权不当以及输入验证不足等常见安全缺陷类型。针对每个识别出的风险点,都提供了详细的分析报告和改进建议,以便开发团队能够采取相应的措施来加固应用系统,并确保其符合行业最佳实践的安全标准。
  • Nmap端口使
    优质
    《Nmap端口扫描使用指南》是一份详尽的手册,指导读者如何利用Nmap工具进行网络扫描、安全审计和主机发现。适合网络安全爱好者和技术人员参考学习。 进行网络扫描可以使用Nmap工具来完成多种任务。以下是一些常用的命令示例: - 使用ICMP ping探测主机:`nmap -PU 192.168.1.0/24` - 执行SYN扫描(也称为半开放扫描),它不建立完整的TCP连接,执行速度快:`nmap -sS 192.168.1.0/24` - 当SYN扫描不可用时,默认使用TCP Connect()方式的全连通端口扫描:`nmap -sT 192.168.1.0/24` - 进行UDP扫描,发送空的(无数据)UDP报文到每个目标端口: `nmap -sU 192.168.1.0/24` - 确定主机支持哪些IP协议(例如TCP、ICMP等):`nmap -sO 192.168.1.19` 此外,还可以使用以下命令进行操作系统探测: - `nmap -O 192.168.1.19` - 或者结合版本检测与服务识别一起使用的高级模式:`nmap -A 192.168.1.19` 官方文档中的一些示例包括: - 扫描主机scanme中的所有保留TCP端口,并启用详细输出模式:`nmap -v scanme` - 对一个C类网段内的全部(最多可达)255个IP地址执行SYN扫描并尝试探测操作系统类型。此命令需要管理员权限: `nmap -sS -O scanme/24` - 扫描B类网络198.116中所有子网,确定是否存在sshd、DNS等服务,并在端口开放时进行版本检测以识别应用程序:`nmap -sV -p 22,53,110,143,4564 198.116.0-255.1-127` - 随机选择并扫描可能运行Web服务器的主机(端口为80):`nmap -v -iR 100000 -P0 -p 80` 其他命令选项包括: - 使用 `-p` 参数指定要扫描的具体端口号,可以是单个端口或范围; - 快速模式使用有限的常见端口进行快速扫描: `nmap -F [目标]`.