Fortify扫描Qt项目
Fortify对于C++类型的代码扫描需要结合编译指令实现,但Fortify支持的C++指令并不多,所以有些类似使用Qt工具开发的项目就需要做一定调整来适配Foritfy的扫描。使用gcc或者cl级别的命令来实现会很麻烦,因为需要对于Qt的qmake工具运行逻辑有一定深入分析,熟知其生成的Makefile以来的环境和make工具,难度较大,所以更建议以Visual Studio的Fortify插件为入口,先将Qt项目转成Visual Studio项目,再使用插件扫描,这样就会容易很多。
我们简单介绍一下流程:
1、在Visual Studio中安装Qt Visual Studio Tools插件和Fortify插件。
2、在Qt插件的Qt Opt选项中配置编译套件,该套件位置可以在Qt对应版本下面,比如Qt﹨Qt5.12.8﹨5.12.8﹨msvc2017。
3、使用Qt插件的Open Qt Project File (.pro)...打开对应的Qt项目,并使用插件的Convert custom build steps to Qt/MSBuild选项,将项目转成vs项目,并生成对应的.vcsproj文件。
测试能成功运行后,源代码审计工具fortify采购,就可以使用Fortify进行扫描了。步骤类似与上面的Android项目,即可生成对应的fpr文件。另外,如果想要使用命令来自动化的进行项目扫描,但不知道一个类型的项目如何进行适配,可以解压使用插件生成的fpr文件。查看其中audit.fvdl文件中的sun.java.command属性内容,fortify采购,里面包含了该项目生成扫描中间文件的指令参数,可以参考了解如何配置自动化的扫描平台。
Fortify编写自定义规则原理
要编写有效的自定义规则,就必须熟悉一直的安全漏洞类别和通常与他们相关的函数类型。深入理解各类经常出现在特定类型漏洞的函数,有利于在编写自定义规则过程中能够准确地找到与安全相关的函数。任何一门语言,都有其庞大的开源框架和lib库。所以自定义规则,既要精通安全漏洞原理,又要熟练掌握一门或几门开发语言,一般自定义规则用的比较多的语言有java、C/C++、PHP等。其次必须识别与安全相关的函数,并熟悉这些函数的特性以此来确定能够体现各个函数具体行为和与之相关的漏洞类别的正确规则形式。一旦确定好了这种联系,源代码检测工具fortify采购,使用自定义规则编辑器来创建规则就相对简单了。
Fortify常见问题解决方法
.Net环境匹配问题
由于Fortify SCA版本对于支持.Net环境的版本有限,源代码扫描工具fortify采购,比如蕞大支持到Microsoft SDK 7.0A
版本的SDK,如下脚本:
1、echo Searching VS Version....
2、reg QUERY "HKLM﹨SOFTWARE﹨Microsoft﹨Microsoft SDKs﹨Windows﹨v7.0A" 2>NUL >NUL
3、IF %ERRORLEVEL%==0 (
4、set LAUNCHERSWITCHES=-vsversion 10.0 %LAUNCHERSWITCHES%
5、echo Found .NET 4.0 setting to VS version 10.0
6、GOTO VSSELECTED
通过Windows注册表中的SDK信息设置扫描依赖版本;
而且,由于Windows版本和.Net Framework版本的差异,环境上往往需要自己增加许多配置项,蕞常见的配置如下:
(1)SDK版本设置:
比如是8.1版本的,我们可以修改脚本文件:
reg QUERY "HKLM﹨SOFTWARE﹨Microsoft﹨Microsoft SDKs﹨Windows﹨v8.1A" 2>NUL >NUL
(2)ildasm路径设置
Unable to locate ildasm是一个常见问题,在转换中没有寻找到ildasm程序,可以通过以下方法设置:
1、fortify-sca.properties文件增加一行com.fortify.sca.IldasmPath=C:﹨Program Files (x86)﹨Microsoft SDKs﹨Windows﹨v8.1A﹨bin﹨NETFX 4.5.1 Tools﹨ildasm(一定是双斜杠)
源代码审计工具fortify采购-华克斯-fortify采购由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是一家从事“Loadrunner,Fortify,源代码审计,源代码扫描”的公司。自成立以来,我们坚持以“诚信为本,稳健经营”的方针,勇于参与市场的良性竞争,使“Loadrunner,Fortify,Webinspect”品牌拥有良好口碑。我们坚持“服务至上,用户至上”的原则,使华克斯在行业软件中赢得了客户的信任,树立了良好的企业形象。 特别说明:本信息的图片和资料仅供参考,欢迎联系我们索取准确的资料,谢谢!