华克斯信息-源代码审计工具fortify

Fortify SCA 扫描

Fortify SCA 的结果文件为.FPR文件，包括详细的漏洞信息：漏洞分类，源代码审计工具fortify总代理，漏洞产生的全路径，源代码审计工具fortify报告中文插件，漏洞所在的源代码行，漏洞的详细说明及修复建议等。

1、首先清除上一次扫描的缓存：

sourceanalyzer -b SCG-AuthCenter -clean

2、扫描、编译源码，源代码审计工具fortify，需要执行依赖的jar包文件和源文件：

sourceanalyzer -encoding UTF-8 -Xmx1024M -b  DMC  -cp "D:/code/cct/DMC/src/main/webapp/WEB-INF/lib/**/*.jar" -source 1.6 "D:/code/cct/DMC/src/main/java/**/*.java"

3、生成fpr文件：

4、生成pdf文件：

Fortify SCA覆盖规则

以下演示覆盖一个秘钥硬编码的规则：

还是以fortify安装目录下自带的php示例代码(Samples﹨basic﹨php)为例

由于没有加密机和密码托管平台，数据库密码只能明文写在代码或配置文件里，怎么不让fortify重复报出这种问题呢？

写一条新规则覆盖这个id的规则，如下xml：

随便一个不会用到的保存秘钥的变量名pasword，覆盖了这条规则

Foritfy SCA主要包含的五大分析引擎：

数据流引擎：跟踪，源代码审计工具fortify价格表，记录并分析程序中的数据传递过程所产生的安全问题。

语义引擎：分析程序中不安全的函数，方法的使用的安全问题。

结构引擎：分析程序上下文环境，结构中的安全问题。

控制流引擎：分析程序特定时间，状态下执行操作指令的安全问题。

配置引擎：分析项目配置文件中的敏感信息和配置缺失的安全问题。

特有的X-Tier?：跨跃项目的上下层次，贯穿程序来综合分析问题。