99热免费,女高潮大叫喷水流白浆,精品老肥婆88AV,美女后入视频,日韩h

最近接觸到一款代碼審計(jì)的工具 --- Fortify SCA and Applications 22.2.0，現(xiàn)就其基本使用做一簡(jiǎn)單介紹！

(資料圖)

Fortify是一個(gè)應(yīng)用安全測(cè)試軟件，是Micro Focus旗下AST（應(yīng)用程序安全測(cè)試）產(chǎn)品。Fortify能夠提供靜態(tài)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試技術(shù)，以及運(yùn)行時(shí)應(yīng)用程序監(jiān)控和保護(hù)功能，包括靜態(tài)代碼分析器（SAST）、動(dòng)態(tài)應(yīng)用安全測(cè)試軟件（DAST）、軟件安全中心（SSC）和實(shí)時(shí)應(yīng)用程序自我保護(hù)（RASP）。Fortify具有以下特點(diǎn)：

• 源代碼安全分析，精準(zhǔn)定位漏洞產(chǎn)生的路徑。
• 具有1分鐘1萬(wàn)行的掃描速度。
• 啟發(fā)式掃描，探索應(yīng)用程序中的潛在風(fēng)險(xiǎn)。
• 云端支持，提供更加智能的代碼分析服務(wù)。

工具安裝與簡(jiǎn)單配置

工具在Windows系統(tǒng)上安裝非常簡(jiǎn)單，不停的點(diǎn)擊“下一步”即可完成。安裝完成后，創(chuàng)建的程序組包括4個(gè)快捷方式，如下圖所示：

• Audit Workbench：審計(jì)工作臺(tái)
• Custom Rules Editor:自定義規(guī)則編輯器
• Fortify Software Documentation:在線文檔
• Scan Wizard:掃描向?qū)?/li>

升級(jí)中文規(guī)則庫(kù)

打開(kāi)Audit Workbench，點(diǎn)擊菜單“Options-->Options...”,

1.點(diǎn)擊“Security Content Management”，在“Update Security Content from Server”區(qū)的Locale中選擇“Simplified Chinese”，點(diǎn)擊“Update”按鈕，完成后如下圖所示：

如果受license限制，無(wú)法升級(jí)到最新的規(guī)則庫(kù)，那么可行的方法就是通過(guò)其他渠道獲取一個(gè)最新的中文規(guī)則庫(kù)，手工對(duì) ExternalMetadata 及 rules 兩個(gè)文件夾的文件進(jìn)行替換。目錄位置：

C:\Program Files\Fortify\Fortify_SCA_and_Apps_22.2.0\Core\config

代碼掃描

Fortify支持很多語(yǔ)言掃描，其中對(duì)Java支持最好，操作簡(jiǎn)單。

• 啟動(dòng) Audit Workbench

• 點(diǎn)擊“Scan Java Project...”,選定Java項(xiàng)目文件夾，

• 選定JDK版本

• 確定掃描參數(shù)，點(diǎn)擊“Scan”開(kāi)始代碼掃描。

審計(jì)結(jié)果

掃描結(jié)束后，結(jié)果自動(dòng)導(dǎo)入到 Audit Workbench，掃描出的問(wèn)題分為4個(gè)等級(jí)：

• Critical:嚴(yán)重
• Hign：高
• Medium:中
• Low:低

對(duì)于每一個(gè)問(wèn)題，可以在Audit區(qū)域進(jìn)行審計(jì)操作，Analysis分為：

• Not an Issue:誤報(bào)
• Reliability Issue:可靠性問(wèn)題
• Bad Practice:不良行為
• Suspicious:可疑的
• Exploitable:可利用的

可以查看問(wèn)題的詳細(xì)說(shuō)明以及處理建議，也可以導(dǎo)出PDF或XML格式的報(bào)告。如下圖所示：

以上就是代碼審計(jì)工具Fortify的基本用法。

本文到此結(jié)束，感謝您的觀看！?。?/strong>