博主介绍

文章目录

• 博主介绍
• 一、Fortify介绍
• • 1、Fortify简介
  • 2、Fortify原理
  • 3、Fortify SCA引擎介绍：
  • 4、Fortify支持语言
• 二、Fortify下载
• 三、Fortify安装
• • 1、双击exe文件
  • 2、点击next
  • 3、同意协议，点击下一步
  • 4、选择安装路径、点击下一步
  • 5、选择组件、点击下一步
  • 6、选择license、点击下一步
  • 7、选择更新服务器，这里可以不用填写
  • 8、移除之前版本选择No
  • 9、安装实例代码项目选择No
  • 10、准备安装、点击下一步
  • 11、等待安装中
  • 12、安装完成、点击Finish及完成安装
  • 13、替换jar包
  • 14、添加rules和ExternalMetadata
  • 15、运行fortify
  • 16、提示是否更新规则，我们选No
  • 17、打开后界面如下
• 四、修改语言为中文
• • 1、运行scapostinstall.cmd修改为中文
  • • 1. 运行scapostinstall.cmd
    • 2. 选择设置
    • 3. 选择常规设置
    • 4. 选择本地的
    • 5. 选择中文
    • 6. 退出设置面板
  • 2、直接再fortify前端面板修改设置
  • • 1. 进入选项
    • 2. 选择语种
• 五、Fortify简单扫描并导出 告
• • 1、打开工作台
  • 2、选择静态代码所在目录，进行扫描
  • 3、扫描完成
  • 4、导出 告
  • 5、查阅 告
• 六、相关资源

一、Fortify介绍

1、Fortify简介

Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，通过与软件安全漏洞规则集进行匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并可导出 告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。

2、Fortify原理

首先通过调用语言的编译器或者解释器把前端的语言代码（如JAVA，C/C++源代码）转换成一种中间媒体文件NST（Normal Syntax Tree），将其源代码之间的调用关系，执行环境，上下文等分析清楚。
通过分析不同类型问题的静态分析引擎分析NST文件，同时匹配所有规则库中的漏洞特征，将漏洞抓取出来，然后形成包含详细漏洞信息的FPR结果文件，用AWB打开查看。

3、Fortify SCA引擎介绍：

数据量引擎：跟踪、记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎：分析过程中不安全的函数，方法的使用的安全问题。
结构引擎：分析程序上下文环境、结构中的安全问题。
控制流引擎：分析程序特定时间、状态下执行操作指令的安全问题。
配置引擎：分析项目配置中的敏感信息和配置确实的安全问题。

4、Fortify支持语言

FortifySCA支持的21语言，分别是：

二、Fortify下载

CSDN有积分的小伙伴可以在CSDN直接下载，方便快捷，还能给我加几个积分，哈哈哈
CSDN下载链接：

把百度 盘链接删除之后就提示不限流了 。。。。。。文章质量就提高了

这里是我添加了两个链接，其中有一个是我自己百度 盘分享的，一个是我传到CSDN的，提示文章质量低下，然后我删了百度 盘分享链接。。。。。。
为了照顾到CSDN没有积分的小伙伴们，我最终还是把百度 盘的链接加上来了

百度 盘下载

三、Fortify安装

1、双击exe文件

3、同意协议，点击下一步

5、选择组件、点击下一步

7、选择更新服务器，这里可以不用填写

9、安装实例代码项目选择No

11、等待安装中

13、替换jar包

fortify安装：安装好之后，将下载的fortify-common-20.1.1.0007.jar包替换掉fortify安装目录下的Corelib目录下的同名包

14、添加rules和ExternalMetadata

将规则包rules，将文件放入Coreconfig目录下；

15、运行fortify

17、打开后界面如下

2. 选择设置

我们直接输入2就行

4. 选择本地的

直接输入1就可以了

6. 退出设置面板

直接键入q退出就ok了

2. 选择语种

根据如图选择，然后点击ok就设置完成了

2、选择静态代码所在目录，进行扫描

我这里选择高级，让他自动识别

确认信息，下一步

3、扫描完成

4、导出 告

导出成功

打开发现是中文的，非常nice