最近接触到一款代码审计的工具 --- Fortify SCA and Applications 22.2.0,现就其基本使用做一简单介绍!
Fortify是一个应用安全测试软件,是Micro Focus旗下AST(应用程序安全测试)产品。
Fortify能够提供静态和动态应用程序安全测试技术,以及运行时应用程序监控和保护功能,包括静态代码分析器(SAST)、动态应用安全测试软件(DAST)、软件安全中心(SSC)和实时应用程序自我保护(RASP)。
Fortify具有以下特点:
- 源代码安全分析,精准定位漏洞产生的路径。
- 具有1分钟1万行的扫描速度。
- 启发式扫描,探索应用程序中的潜在风险。
- 云端支持,提供更加智能的代码分析服务。
工具安装与简单配置
工具在Windows系统上安装非常简单,不停的点击“下一步”即可完成。安装完成后,创建的程序组包括4个快捷方式,如下图所示:
[图片上传失败...(image-457469-1689079933570)]
- Audit Workbench:审计工作台
- Custom Rules Editor:自定义规则编辑器
- Fortify Software Documentation:在线文档
- Scan Wizard:扫描向导
升级中文规则库
打开Audit Workbench,点击菜单“Options-->Options...”,
[图片上传失败...(image-be6c34-1689079933570)]
1.点击“Security Content Management”,在“Update Security Content from Server”区的Locale中选择“Simplified Chinese”,点击“Update”按钮,完成后如下图所示:
[图片上传失败...(image-7559db-1689079933570)]
如果受license限制,无法升级到最新的规则库,那么可行的方法就是通过其他渠道获取一个最新的中文规则库,手工对 ExternalMetadata 及 rules 两个文件夹的文件进行替换。
目录位置:
C:\Program Files\Fortify\Fortify_SCA_and_Apps_22.2.0\Core\config
代码扫描
Fortify支持很多语言扫描,其中对Java支持最好,操作简单。
- 启动 Audit Workbench
[图片上传失败...(image-1a56f1-1689079933570)]
- 点击“Scan Java Project...”,选定Java项目文件夹,
[图片上传失败...(image-68718c-1689079933570)]
- 选定JDK版本
[图片上传失败...(image-713c36-1689079933570)]
- 确定扫描参数,点击“Scan”开始代码扫描。
审计结果
扫描结束后,结果自动导入到 Audit Workbench,扫描出的问题分为4个等级:
- Critical:严重
- Hign:高
- Medium:中
- Low:低
对于每一个问题,可以在Audit区域进行审计操作,Analysis分为:
- Not an Issue:误报
- Reliability Issue:可靠性问题
- Bad Practice:不良行为
- Suspicious:可疑的
- Exploitable:可利用的
可以查看问题的详细说明以及处理建议,也可以导出PDF或XML格式的报告。如下图所示:
[图片上传失败...(image-a2fb7f-1689079933570)]
以上就是代码审计工具Fortify的基本用法。
本文到此结束,感谢您的观看!!!
