Fortify_SCA代码审计22.x最新下载

Fortify SCA 介绍

Fortify SCA 是一个静态的、白盒的软件源代码安全测试工具。 它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配 置流等对应用软件的源代码进行静态的分析，分析的过程中与它特有 的软件安全漏洞规则集进行全面地匹配、查找，从而将源代码中存在 的安全漏洞扫描出来，并给予整理报告。扫描的结果中不但包括详细 的安全漏洞的信息，还会有相关的安全知识的说明，以及修复意见的提供。

.

1．Fortify SCA 扫描引擎介绍：

.

Foritfy SCA 主要包含的五大分析引擎：

（1）：数据流引擎：跟踪,记录并分析程序中的数据传递过程所产生 的安全问题。
（2）：语义引擎：分析程序中不安全的函数,方法的使用的安全问题。
（3）：结构引擎：分析程序上下文环境,结构中的安全问题。
（4）：控制流引擎：分析程序特定时间,状态下执行操作指令的安全 问题。
（5）：配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全 问题。
（6）： 特有的 X-Tier™跟踪器：跨跃项目的上下层次,贯穿程序来综合 分析问题

.

2. Fortify SCA 的工作原理：

.

Foritfy SCA 首先通过调用语言的编译器或者解释器把前端的语言 代码（如 JAVA，C/C++源代码）转换成一种中间媒体文件 NST（Normal Syntax Tree）将其源代码之间的调用关系，执行环境，上下文等分析 清楚。然后再通过上述的五大分析引擎从五个切面来分析这个 NST， 匹配所有规则库中的漏洞特征，一旦发现漏洞就抓取出来。最后形成 包含详细漏洞信息的 FPR 结果文件，用 AWB 打开查看。

.

3．Fortify SCA 支持的平台：

.

Fortify Source Code Analysis支持以下平台和体系结构。

.

4．Fortify SCA 支持的编程语言：

.

Fortify Source Code Analysis 支持以下编程语言：

.

5．Fortify SCA plug-In 支持的有:

.

.

6．Fortify SCA 目前能够扫描的安全漏洞种类有：

.

目前Fortify SCA可以扫描出约 300 种漏洞，Fortify将所有安全 漏洞整理分类，根据开发语言分项目，再细分为 8 个大类，约 300 个 子类，具体详细信息可登录Fortify 官方网站 http://www.fortify.com/vulncat/ 进行查询：

Fortify SCA 安装

首先下载小编提供的win/liux安装包，小编在这边演示安装win版本

通过百度云盘下载，并解压到电脑桌面

我们可以看到是已经安装破解好的，我们怎么去打开。

(管理员打开)

打开bin文件夹，双击auditworkbench.cmd，没有开启显示后缀文件名称为：auditworkbench

双击后，需要等待，Fortify载入，不同电脑可能载入时间有所不同，请耐心等待。

Fortify SCA 使用

小编在这里简单的去说明下，不清楚使用方式可以自行百度，百度有很多不错的教程文章。

如下图，我们可以在窗口左上角和红框的右下边。

Start New Project

Scan Java Project //扫描java的程序
Advanced Scan..  //自动识别扫描的程序

左上角
Scan Java Project //扫描java的程序
Open Project //打开一个项目

小编新建一个test模仿扫描的程序,点击next

点击Next 之后，窗口下方

configure rulepacks选择要扫描的选项，根据自己的情况而定
Configure Memory 选择配置内存大小，扫码过程中常见的情况是内存不足导致带不动，可以考虑换台配置高的或者增加虚拟内存大小

小编扫描的是php，我就配置选项选中php代码，让他去扫描

Fortify SCA 持续更新

问题1：运行jvm报错(未解决)

来源棉花糖安全圈

admin普通

收藏 海报 链接