源代码检测工具fortify扫描-华克斯

1、导航并查看分析结果

在您打开一个用来查看 Fortify Source Code Analyzer (Fortify SCA) 所检测到的问题的 Audit Workbench 项目之后，您可以在 Summary（摘要）面板中审计这些问题，以反映这些问题的严重级别，以及对该问题执行的安全分析状态。

系统会按审计结果的严重性以及准确性，对审计结果进行分组，并在默认情况下将问题识别为位于“Issues（问题）”面板中的 Hot（严重）列表内。单击 Warning（警告）和 Info（信息），源代码检测工具fortify扫描，查看分组在这些列表中的问题。

每个列表中的问题数量显示在相关按钮下面。

要检验与 Issues（问题）面板中所列问题相关的代码，选中该问题。源代码部分包含显示在源代码查看器面板中的问题，源代码检测工具fortify，并在面板的标题中显示文件所包含问题的名称。

2、审计结果分析

本练习将会引导您浏览一下在练习 3 中使用 Fortify SCA 分析小程序产生的结果。请您检查 Fortify SCA 中各种不同分析器所发现的问题，并比较 Fortify SCA 生成的各种不同输出格式。

请考虑 UserServ.java 的内容：

Fortify安装使用简易教程

Fortify SCA是一个静态源代码安全测试工具。它通过内置的五大主要分析引擎对源代码进行静态的分析和检测，分析的过程中与其特有的软件安全漏洞规则集进行地匹配、查找。

好安装包后，双击安装应用程序

点击Next进行下一步

接受协议，点击Next

选择安装位置或者默认位置，点击Next

勾选你要安装的插件，点击Next下一步

选择﹨fortify.license，点击下一步

选择更新服务器，这里可以不用填写

Fortify SCA如何使用！

安装fortify之后，打开

界面：

选择扫描

他问要不要更新？ 如果你购买了可以选择YES。

选择之后出现如下界面

浏览意思是：扫描之后保存的结果保存在哪个路径。

然后点击下一步。

参数说明：

1、enable clean :把上一次的扫描结果清楚，除非换一个build ID，不然中间文件可能对下一次扫描产生影响。

2、enable translation: 转换，源代码检测工具fortify规则，把源码代码转换成nst文件

3、64： 是扫描64位的模式，sca默认扫描是32位模式。

4、-Xmx4000m:4000M大概是4G，制定内存数-Xmx4G ：也可以用G定义这个参数建议加

5、-encoding: 定制编码，UTF-8比较全，源代码检测工具fortify版本，工具解析代码的时候字符集转换的比较好，建议加，如果中文注释不加会是乱码。

6、-diable-source-:rendering:不加载与漏洞无关的代码到审计平台上，不建议加，这样代码显示不全。