Fortify SCA是惠普公司开发的一款源代码安全测试工具,是国际上知名的代码审计工具之一。本文将介绍Fortify的使用技巧,尤其是审计Java代码的过程。安装Fortify SCA相对简单,关键步骤包括选择license文件foritfy.license,然后按照默认选项进行下一步操作。升级Fortify的中文规则库是审计Java代码的关键步骤。在Audit...
第37篇:fortify代码审计工具的使用技巧1-审计java代码过程
Fortify SCA是惠普公司开发的一款源代码安全测试工具,是国际上知名的代码审计工具之一。本文将介绍Fortify的使用技巧,尤其是审计Java代码的过程。
安装Fortify SCA相对简单,关键步骤包括选择license文件foritfy.license,然后按照默认选项进行下一步操作。
升级Fortify的中文规则库是审计Java代码的关键步骤。在Audit Workbench快捷方式中打开gui界面,通过Options选项进入Security Content Management,点击Update Security Content - zh_CN进行升级。
如果受license限制无法升级规则库,可以联系拥有商业版的朋友获取最新规则库,然后手动替换ExternalMetadata及rules两个文件夹的文件。
在配置Security Content Management后,可以针对Java项目进行代码审计。选择正确的java版本,如1.8,然后扫描Java web代码。根据实际情况选择是否扫描Java web代码。
运行Fortify后,将扫描出项目中的高危漏洞。对于特定问题,如webgoat源代码中未扫描出基本的SQL注入漏洞,可能是因为缺少依赖的jar包。通过检查pom.xml文件并确保所有需要的jar包已放置在项目目录中,Fortify将识别并加载这些文件,从而完成扫描。
扫描结果将通过图表形式展示在Fortify的Diagram功能中,便于分析漏洞触发点的完整流程。此外,Fortify提供中文的漏洞修补建议,并允许用户根据需要对扫描结果进行分类和隐藏误报。
生成报告是Fortify的另一个重要功能,尽管本文不经常使用此功能,但它是审计结果的参考来源。Fortify默认的编码不支持UTF-8,可能导致中文乱码问题,但通过设置文件编码或修改配置文件可以解决此问题。
Fortify的使用技巧不仅限于上述内容,后续还将分享更多关于Fortify、Checkmarx、Coverity等代码审计工具的使用教程。专注于网络安全技术分享,涵盖红队攻防、蓝队分析、渗透测试、代码审计等多个领域。每周一篇,确保内容的原创性和质量,敬请关注。2024-11-03
