Fortify SCA 介绍
Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。 它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析,分析的过程中与它特有 的软件安全漏洞规则集进行全面地匹配、查找,从而将源代码中存在 的安全漏洞扫描出来,并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息,还会有相关的安全知识的说明,以及修复意见的提供。
.
1.Fortify SCA 扫描引擎介绍:
.
Foritfy SCA 主要包含的五大分析引擎:
(1):数据流引擎:跟踪,记录并分析程序中的数据传递过程所产生 的安全问题。 (2):语义引擎:分析程序中不安全的函数,方法的使用的安全问题。 (3):结构引擎:分析程序上下文环境,结构中的安全问题。 (4):控制流引擎:分析程序特定时间,状态下执行操作指令的安全 问题。 (5):配置引擎:分析项目配置文件中的敏感信息和配置缺失的安全 问题。 (6): 特有的 X-Tier™跟踪器:跨跃项目的上下层次,贯穿程序来综合 分析问题
.
2. Fortify SCA 的工作原理:
.
Foritfy SCA 首先通过调用语言的编译器或者解释器把前端的语言 代码(如 JAVA,C/C++源代码)转换成一种中间媒体文件 NST(Normal Syntax Tree)将其源代码之间的调用关系,执行环境,上下文等分析 清楚。然后再通过上述的五大分析引擎从五个切面来分析这个 NST, 匹配所有规则库中的漏洞特征,一旦发现漏洞就抓取出来。最后形成 包含详细漏洞信息的 FPR 结果文件,用 AWB 打开查看。
.
3.Fortify SCA 支持的平台:
.
Fortify Source Code Analysis支持以下平台和体系结构。
| 操作系统 | 版本 | 体系结构 |
|---|---|---|
| HP-UX | 11V1 | |
| IBM AIX | 5.2 | |
| Linux | Fedora Core7 Red Hat ES 4和5 Novelle SUSE 10 |
x86 和 x64 |
| Mac OS X | 10.4 和 10.5 | PPC 和 x86 |
| Sun Solaris | 8,9 和 10 | SPARC |
| Windows | 2000 2003 XP Vista |
X86 X86 和 X64 X86 和 X64 X86 |
.
4.Fortify SCA 支持的编程语言:
.
Fortify Source Code Analysis 支持以下编程语言:
| 语言 | 版本 |
|---|---|
| Adobe ColdFusion | 5 |
| .NET | 1.1 和 2.0 |
| C/C++ | 请参见“编译器” |
| Classic ASP | |
| JAVA | 1.3,1.4,1.5 和 1.6 |
| JavaScript | |
| PHP | |
| PL/SQL | |
| T-SQL | |
| VB for Applications | 6 |
| VB Script |
.
5.Fortify SCA plug-In 支持的有:
.
| 操作系统 | IDE |
|---|---|
| Linux | Eclipse 3.2,3.3 RAD 7 RSA 7 |
| Windows | Eclipse 3.2,3.3 RAD 6,7 RSA 7 Visual Studio 2003,2005 |
| Mac OS X | Eclipse 3.2,3.3 RAD 7 RSA 7 |
.
6.Fortify SCA 目前能够扫描的安全漏洞种类有:
.
目前Fortify SCA可以扫描出约 300 种漏洞,Fortify将所有安全 漏洞整理分类,根据开发语言分项目,再细分为 8 个大类,约 300 个 子类,具体详细信息可登录Fortify 官方网站 http://www.fortify.com/vulncat/ 进行查询:
Fortify SCA 安装
首先下载小编提供的win/liux安装包,小编在这边演示安装win版本
通过百度云盘下载,并解压到电脑桌面
我们可以看到是已经安装破解好的,我们怎么去打开。
(管理员打开)
打开bin文件夹,双击auditworkbench.cmd,没有开启显示后缀文件名称为:auditworkbench
双击后,需要等待,Fortify载入,不同电脑可能载入时间有所不同,请耐心等待。
Fortify SCA 使用
小编在这里简单的去说明下,不清楚使用方式可以自行百度,百度有很多不错的教程文章。
如下图,我们可以在窗口左上角和红框的右下边。
Start New Project
Scan Java Project //扫描java的程序 Advanced Scan.. //自动识别扫描的程序 左上角 Scan Java Project //扫描java的程序 Open Project //打开一个项目
小编新建一个test模仿扫描的程序,点击next
点击Next 之后,窗口下方
configure rulepacks选择要扫描的选项,根据自己的情况而定 Configure Memory 选择配置内存大小,扫码过程中常见的情况是内存不足导致带不动,可以考虑换台配置高的或者增加虚拟内存大小
小编扫描的是php,我就配置选项选中php代码,让他去扫描
Fortify SCA 持续更新
问题1:运行jvm报错(未解决)
来源棉花糖安全圈
1.本站上传的源码,均为平台购买,作者提供,网友推荐,互联网平台整理而来,请下载后24小时内删除。如有需要,请购买正版.
2.请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。
3.站内资源若侵犯了您的合法权益,请指出本站立即改正。
4.上述内容仅供学习参考及技术交流之用,未经相关的知识产权权利人同意,用户不得进行商业使用。
5.保姆式服务,百分百售后!
评论(3)
解压密码是什么呀
找到了,就在网盘文件夹名称上写着。。。
有偿找大佬帮忙,合法,事后必重谢!