Fortify SCA使用
2.1安装完成后桌面没有快捷方式的话,点击左下角windows图片输入 au,点击运行即可。
注意事项
2.2如果打开后出现弹窗点击按钮后出现错误提示的话
2.3 替换安装目录的许可证文件后重新打开软件即可
需要注意的是目录为安装目录,不是压缩包解压目录
2.4 选择java项目或者自动识别项目类型,这里以自动识别项目类型举例,点击后选中代码目录。
2.5 选择完目录后运行可能会提示是否更新规则包,点击是。
2.6 规则更新完成后会弹出配置本次扫描的弹窗
无特殊配置的话一路next蕞后点击扫描,等待扫描完成。
2.7 导出扫描报告
扫描完成后即可查看扫描出的问题,点击tools ->reports -> 即可生成pdf报告
Fortify SCA快速入门
规则库导入:
所有的扫描都是基于规则库进行的,因此,源代码审计工具fortify sca价格,建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨Core﹨config﹨rules文件夹下,拷贝后便为扫描建立了默认的规则库。另外,你也可以自定义规则,源代码扫描工具fortify sca价格,这些内容将会在以后逐一介绍。
建立和执行扫描任务:
我们分别通过Java、.Net C#和C/C++三类不同编程语言项目来介绍如何快速建立和执行扫描任务:
Java项目:
Fortify SCA对于Java项目的支持是做得蕞好的,建立扫描入口的路径选择非常多,fortify sca价格,常用的方法是直接执行HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨auditworkbench.cmd,启动审计工作台就可以直接对Java项目进行静态扫描;另外也可以使用Fortify SCA插件,集成嵌入Eclipse来完成开发过程中的实时扫描;当然,你也可以使用原生的命令行工具完成全部工作,我们这里介绍一个通用的方法,即利用ScanWizard工具导入你的源码项目,通过一系列设置后,会生成一个批处理脚本文件,通过批处理代替手工输入执行命令进行测试。
使用HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨bin﹨ScanWizard.cmd启动ScanWizard工具:
Fortify SCA 扫描
Fortify SCA 的结果文件为.FPR文件,源代码审计工具fortify sca价格,包括详细的漏洞信息:漏洞分类,漏洞产生的全路径,漏洞所在的源代码行,漏洞的详细说明及修复建议等。
1、首先清除上一次扫描的缓存:
sourceanalyzer -b SCG-AuthCenter -clean
2、扫描、编译源码,需要执行依赖的jar包文件和源文件:
sourceanalyzer -encoding UTF-8 -Xmx1024M -b DMC -cp "D:/code/cct/DMC/src/main/webapp/WEB-INF/lib/**/*.jar" -source 1.6 "D:/code/cct/DMC/src/main/java/**/*.java"
3、生成fpr文件:
4、生成pdf文件:
fortify sca价格-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司位于苏州工业园区新平街388号。在市场经济的浪潮中拼博和发展,目前华克斯在行业软件中享有良好的声誉。华克斯取得全网商盟认证,标志着我们的服务和管理水平达到了一个新的高度。华克斯全体员工愿与各界有识之士共同发展,共创美好未来。