源代码检测工具fortify报告中文插件-苏州华克斯公司

C/C++源码扫描系列- Fortify 篇

环境搭建

本文的分析方式是在 Linux 上对源码进行编译、扫描，然后在 Windows 平台对扫描结果进行分析，所以涉及 Windows 和 Linux 两个平台的环境搭建。

Windows搭建

首先双击 Fortify_SCA_and_Apps_20.1.1_windows_x64.exe 安装

安装完成后，把 fortify-common-20.1.1.0007.jar 拷贝 Core﹨lib 进行，fortify报告中文插件，然后需要把 rules 目录的规则文件拷贝到安装目录下的 Core﹨config﹨rules 的路径下，该路径下保存的是Fortify的默认规则库。

ExternalMetadata 下的文件也拷贝到 Core﹨config﹨ExternalMetadata 目录即可

执行 auditworkbench.cmd 即可进入分析源码扫描结果的IDE.

Fortify常见问题解决方法

内存不足问题

在应用Fortify SCA实施源代码扫描过程中内存不足是分析器（sourceanalyzer）经常报出的一类问题，如下：

扫描过程中：

1、com.fortify.sca.analyzer.AbortedException: There is not enough memory available

2、to complete analysis.  For details on making more memory available；

There were 3 problems with insufficient memory. Results may be incomplete.

因此，源代码检测工具fortify报告中文插件，我们必须对JVM参数进行调整，增加虚拟器内存大小。

（1）确认安装64位的Fortify SCA程序；（这是一个众所周知的JVM问题，源代码检测工具fortify报告中文插件，32为虚拟机内存大小及其有限）；

（2）安装一个64位的jre，并将其替换HP_Fortify﹨HP_Fortify_SCA_and_Apps_3.80﹨的jre目录（就算你安装了64位的Fortify SCA程序，该程序默认的jre仍然是32位的）；

Fortify安装使用简易教程

Fortify SCA是一个静态源代码安全测试工具。它通过内置的五大主要分析引擎对源代码进行静态的分析和检测，分析的过程中与其特有的软件安全漏洞规则集进行地匹配、查找。

好安装包后，双击安装应用程序

点击Next进行下一步

接受协议，点击Next

选择安装位置或者默认位置，点击Next

勾选你要安装的插件，点击Next下一步

选择﹨fortify.license，点击下一步

选择更新服务器，这里可以不用填写