华克斯信息-江西fortify规则库

fortify扫描android项目

使用插件扫描是一个比较的方式，因为操作简单，且环境---不需要重新配置。

首先肯定是获取插件，我们需要从安装fortify开始。如果已经安装了也不要紧，源代码扫描工具fortify规则库，直接---安装到原有目录即可，fortify会自动适配的。安装步骤基本都使用默认选项，但是在选择组件的环节，我们要记得勾选上我们需要的插件。

上图中红框是给android studio使用的插件，是本小节需要使用到的。第二个红框则是一个visual studio的插件，后面会用到，这里可以先勾选一下(但要记得visual studio的插件只能在visual studio已存在时安装，版本也不要选错)。安装后，可以在fortify安装目录下的plugins﹨intellij---ysis目录中找到我们需要的插件。

然后是第二步，将插件安装到android studio上。在android studio中打开插件的界面，选择设置的图标，然后选择install plugin from disk...选项，选中前面说到的插件文件。然后重启android studio即可生效。

生效后我们可以在android studio的栏中找到fortify选项，在fortify->;---ysis settings...选项中，我们可以配置该插件扫描源码的规则和配置。

蕞后，我们---fortify->;---yze project选项，即可扫描项目并在项目的根目录生成fpr文件

1、导航并查看分析结果

在您打开一个用来查看 fortify source code ---yzer (fortify sca) 所检测到的问题的 audit workbench 项目之后，源代码检测工具fortify规则库，您可以在 summary（摘要）面板中审计这些问题，以反映这些问题的---级别，以及对该问题执行的安全分析状态。

系统会按审计结果的---性以及准确性，对审计结果进行分组，并在默认情况下将问题识别为位于“issues（问题）”面板中的 hot（---）列表内。单击 warning（---）和 info（信息），查看分组在这些列表中的问题。

每个列表中的问题数量显示在相关按钮下面。

要检验与 issues（问题）面板中所列问题相关的代码，选中该问题。源代码部分包含显示在源代码查看器面板中的问题，并在面板的中显示文件所包含问题的名称。

2、审计结果分析

本练习将会引导您浏览一下在练习 3 中使用 fortify sca 分析小程序产生的结果。请您检查 fortify sca 中各种不同分析器所发现的问题，并比较 fortify sca 生成的各种不同输出格式。

请考虑 userserv.java 的内容：