当您选择某个问题后,Analysis Trace(分析跟踪)面板会显示相关的 trace output。通常情况下,这是一系列进程点,源代码审计工具fortify版本,显示了分析器是如何找到该问题的。对于数据流和控制流问题,这一系列点会以执行顺序显示。
例如,fortify版本,如果您选择某个与可能被数据流相关的问题,Analysis Trace(分析跟踪)面板会显示这段源代码中数据流的移动方向。
“Analysis Trace(分析跟踪)”面板使用以下图标来显示本段源代码中数据流的移动方式:
表 1:分析跟踪图标
使用Fortify SCA
1、扫描 Java 项目
“Scan Java Project(扫描 Java 项目)”向导将转换阶段和分析阶段合并为一个简单的步骤。使用此功能可以扫描源那些代码位于单个目录中的小型 Java 项目。
2、扫描其他项目
您可以使用“Advanced Scan(扫描)”向导转换和分析 Java、JavaScript、PHP、ASP、.NET 和 SQL 项目。对于源代码位于多个目录中、具有特殊转换或构建条件,或包含需要从项目中排除的文件的 Java 项目,应使用“Advanced Scan(扫描)”向导。
Fortify SCA 扫描
Fortify SCA 的结果文件为.FPR文件,源代码扫描工具fortify版本,包括详细的漏洞信息:漏洞分类,漏洞产生的全路径,漏洞所在的源代码行,漏洞的详细说明及修复建议等。
1、首先清除上一次扫描的缓存:
sourceanalyzer -b SCG-AuthCenter -clean
2、扫描、编译源码,需要执行依赖的jar包文件和源文件:
sourceanalyzer -encoding UTF-8 -Xmx1024M -b DMC -cp "D:/code/cct/DMC/src/main/webapp/WEB-INF/lib/**/*.jar" -source 1.6 "D:/code/cct/DMC/src/main/java/**/*.java"
3、生成fpr文件:
4、生成pdf文件:
源代码扫描工具fortify版本-华克斯(推荐商家)由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司在行业软件这一领域倾注了诸多的热忱和热情,华克斯一直以客户为中心、为客户创造价值的理念、以品质、服务来赢得市场,衷心希望能与社会各界合作,共创成功,共创辉煌。相关业务欢迎垂询,联系人:华克斯。
