c/c++源码扫描系列- fortify 篇
环境搭建
本文的分析方式是在 linux 上对源码进行编译、扫描,然后在 windows 平台对扫描结果进行分析,所以涉及 windows 和 linux 两个平台的环境搭建。
windows搭建
首先双击 fortify_sca_and_apps_20.1.1_windows_x64--- 安装
安装完成后,把 fortify-common-20.1.1.0007.jar 拷贝 core﹨lib 进行,然后需要把 rules 目录的规则文件拷贝到安装目录下的 core﹨config﹨rules 的路径下,fortify sca源代码,该路径下保存的是fortify的默认规则库。
externalmetadata 下的文件也拷贝到 core﹨config﹨externalmetadata 目录即可
执行 auditworkbench.cmd 即可进入分析源码扫描结果的ide.
fortify “---ysis trace(分析---)”面板:
当您选择某个问题后,fortify sca,---ysis trace(分析---)面板会显示相关的 trace output。通常情况下,这是一系列进程点,显示了分析器是如何找到该问题的。对于数据流和控制流问题,fortify sca版本,这一系列点会以执行顺序显示。
例如,如果您选择某个与可能被数据流相关的问题,fortify sca代码漏洞,---ysis trace(分析---)面板会显示这段源代码中数据流的移动方向。
“---ysis trace(分析---)”面板使用以下图标来显示本段源代码中数据流的移动方式:
表 1:分析---图标
使用fortify sca
1、扫描 java 项目
“scan java project(扫描 java 项目)”向导将转换阶段和分析阶段合并为一个简单的步骤。使用此功能可以扫描源那些代码位于单个目录中的小型 java 项目。
2、扫描其他项目
您可以使用“advanced scan(扫描)”向导转换和分析 java、javasc ript、php、asp、.net 和 sql 项目。对于源代码位于多个目录中、具有特殊转换或构建条件,或包含需要从项目中排除的文件的 java 项目,应使用“advanced scan(扫描)”向导。
fortify sca源代码-fortify sca-华克斯由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是从事“loadrunner,fortify,源代码审计,源代码扫描”的企业,公司秉承“诚信经营,用心服务”的理念,为您提供---的产品和服务。欢迎来电咨询!联系人:华克斯。
联系我们时请一定说明是在100招商网上看到的此信息,谢谢!
本文链接:https://tztz192713.zhaoshang100.com/zhaoshang/267273833.html
关键词: loadrunner - qtp - hp qc/alm - fortifysca - fireeye
滇公网安备 53011202000392号