源代码扫描工具fortify工具-华克斯-fortify工具

Fortify Source Code Analysis Suite是目前在使用为广泛的软件源代码安全扫描，分析和软件安全风险管理软件。该软件多次荣获的软件安全大奖，包括InforWord， Jolt，SC Magazine….目前众多的软件开发企业都在使用该软件方案在他们的开发团队中加速查找软件安全漏洞的效率，监视和管理软件安全的风险.

Fortify SCA源代码安全漏洞的审计功能：

1．安全漏洞扫描结果的汇总和问题优先级别划分功能。

2．安全审计自动导航功能

3．安全问题定位和问题传递过程跟踪功能。

4．安全问题查询和过滤功能。

5．安全问题审计结果、审计类别划分和问题旁注功能。

6．安全问题描述和推荐修复建议。

Fortify SCA 安装

About Installing Fortify Static Code Analyzer and Applicati0ns

描述了如何安装增强的静态代码分析器和应用程序。需要一个Fortify的许可证文件来完成这个过程。可以使用标准安装向导，也可以静默地执行安装。还可以在非windows系统上执行基于文本的安装。为了获得蕞佳性能，请尽量在扫描的代码驻留的同一本地文件系统上安装Fortify静态代码分析器。

注意:在非windows系统上，必须以拥有写权限的主目录的用户身份安装Fortify Static Code Analyzer和应用程序。不要将Fortify静态代码分析器和应用程序作为没有主目录的非根用户安装

security content安全包由安全编码规则包和外部元数据组成。安全编码规则包描述了流行语言和公共api的一般安全编码习惯用法。外部元数据包括从Fortify类别到可选类别(如CWE、OWASP Th 10和PCI)的映射。.

要升级增强的静态代码分析器和应用程序，请安装新版本并选择从以前的安装迁移设置。这个迁移保存并更新了位于/Core/config目录中的Fortify静态代码分析器工件文件。

安装新版本后，可以卸载以前的版本。有关更多信息，fortify工具，请参见卸载Fortify静态代码分析器和应用程序。

注意:可以继续安装以前的版本。如果在同一个系统上安装了多个版本，那么在从命令行运行命令时将调用蕞近安装的版本。扫描来自Fortify安全插件的源代码还使用了蕞新安装的Fortify静态代码分析器版本。

如果选择不从以前的版本迁移任何设置，Fortify建议您保存以下数据的备份。

Fortify扫描Qt项目

Fortify对于C++类型的代码扫描需要结合编译指令实现，但Fortify支持的C++指令并不多，所以有些类似使用Qt工具开发的项目就需要做一定调整来适配Foritfy的扫描。使用gcc或者cl级别的命令来实现会很麻烦，因为需要对于Qt的qmake工具运行逻辑有一定深入分析，熟知其生成的Makefile以来的环境和make工具，难度较大，所以更建议以Visual Studio的Fortify插件为入口，源代码审计工具fortify工具，先将Qt项目转成Visual Studio项目，再使用插件扫描，源代码扫描工具fortify工具，这样就会容易很多。

我们简单介绍一下流程:

1、在Visual Studio中安装Qt Visual Studio Tools插件和Fortify插件。

2、在Qt插件的Qt Opt选项中配置编译套件，该套件位置可以在Qt对应版本下面，比如Qt﹨Qt5.12.8﹨5.12.8﹨msvc2017。

3、使用Qt插件的Open Qt Project File (.pro)...打开对应的Qt项目，并使用插件的Convert custom build steps to Qt/MSBuild选项，将项目转成vs项目，并生成对应的.vcsproj文件。

测试能成功运行后，就可以使用Fortify进行扫描了。步骤类似与上面的Android项目，即可生成对应的fpr文件。另外，如果想要使用命令来自动化的进行项目扫描，但不知道一个类型的项目如何进行适配，可以解压使用插件生成的fpr文件。查看其中audit.fvdl文件中的sun.java.command属性内容，里面包含了该项目生成扫描中间文件的指令参数，可以参考了解如何配置自动化的扫描平台。