Fortify SCA 扫描
Fortify SCA 的结果文件为.FPR文件,包括详细的漏洞信息:漏洞分类,漏洞产生的全路径,漏洞所在的源代码行,新疆fortify规则,漏洞的详细说明及修复建议等。
1、首先清除上一次扫描的缓存:
sourceanalyzer -b SCG-AuthCenter -clean
2、扫描、编译源码,需要执行依赖的jar包文件和源文件:
sourceanalyzer -encoding UTF-8 -Xmx1024M -b DMC -cp "D:/code/cct/DMC/src/main/webapp/WEB-INF/lib/**/*.jar" -source 1.6 "D:/code/cct/DMC/src/main/java/**/*.java"
3、生成fpr文件:
4、生成pdf文件:
Fortify SCA基本功能
3、必须支持以下编程语言,包括ASP.NET,C,C++,C#, Flex/Acti0nScript, Java,
JavaScript/AJAX, JSP, Objective
C,PL/SQL,源代码扫描工具fortify规则,PHP,T-SQL,VB.NET,VBScript,VB6,XML/HTML,Python, ColdFusion,
COBOL, ABAP, Ruby, Swift, Scala、Go、Kotlin等语言。
4、必须支持工具的IDE集成,如:Visual Studio2019/2017/2015、 IntelliJ、Android Studio、PyCharm、WebStorm、Eclipse
等开发工具。
5、需支持部署在多种操作系统,即可以安装在所有主流操作系统中,如:Windows、Linux、MacOS等。
6、工具的技术达到水平和地位,在的IT研究咨询机构Gartner的报告中,必须位于魔力象限的象限业界地位(提供证明材料)。
7、工具支持自动检测版本更新,漏洞规则库支持在线定期自动更新,源代码检测工具fortify规则,可以在线和离线两种方式进行升级更新。
8、测试、扫描速度快。如测试速度不低于1万行代码/分钟。可以随着CPU核数和内存的增加大幅提高测试速度。
9、提供灵活的使用分析方式,如IDE集成分析、命令行分析、审计控制台分析等。
Fortify常见问题解决方法
内存不足问题
在应用Fortify SCA实施源代码扫描过程中内存不足是分析器(sourceanalyzer)经常报出的一类问题,如下:
扫描过程中:
1、com.fortify.sca.analyzer.AbortedException: There is not enough memory available
2、to complete analysis. For details on making more memory available;
There were 3 problems with insufficient memory. Results may be incomplete.
因此,我们必须对JVM参数进行调整,增加虚拟器内存大小。
(1)确认安装64位的Fortify SCA程序;(这是一个众所周知的JVM问题,32为虚拟机内存大小及其有限);
(2)安装一个64位的jre,并将其替换HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨的jre目录(就算你安装了64位的Fortify SCA程序,该程序默认的jre仍然是32位的);
新疆fortify规则-苏州华克斯公司由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司是一家从事“Loadrunner,Fortify,源代码审计,源代码扫描”的公司。自成立以来,我们坚持以“诚信为本,稳健经营”的方针,勇于参与市场的良性竞争,使“Loadrunner,Fortify,Webinspect”品牌拥有良好口碑。我们坚持“服务至上,用户至上”的原则,使华克斯在行业软件中赢得了客户的信任,树立了良好的企业形象。 特别说明:本信息的图片和资料仅供参考,欢迎联系我们索取准确的资料,谢谢!