windows fortifySCA 扫描 c/c++ 项目

信安成长日记

已于 2023-09-27 10:11:46 修改

阅读量3.8k

点赞数

CC 4.0 BY-SA版权

分类专栏：安全工具文章标签： fortify windows c++

于 2023-04-15 15:20:41 首次发布

本文链接：https://blog.youkuaiyun.com/SHELLCODE_8BIT/article/details/130170199

安全工具专栏收录该内容

33 篇文章 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

本文介绍了如何在Windows上使用Fortify Static Code Analyzer (SCA) 对C/C++项目进行安全扫描。首先，下载并配置mingw64，将bin目录添加到环境变量。接着，利用sourceanalyzer.exe进行编译和扫描，详细说明了扫描选项以及如何处理编译依赖。在Clion项目中，需要添加特定的编译选项来避免链接错误。完成扫描后，会在工作目录生成builde_id.fpr文件，通过Fortify工具打开并查看扫描结果和漏洞详情。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

1、下载 mingw64

MinGW-w64 - for 32 and 64 bit Windows - Browse Files at SourceForge.net

下载解压，把它的 bin 目录路径设置到环境变量中

2、扫描

使用 fortify bin 目录下的 sourceanalyzer.exe 进行编译处理和扫描， sourceanalyzer.exe -help 可以查看所有扫描选项，扫描单个 c 文件的选项如下

sourceanalyzer.exe -b build_id gcc.exe <编译选项>

sourceanalyzer.exe -b build_id -scan -verbose -f builde_id.fpr

进行扫描时记得添加编译选项，和正常的 gcc 编译一样

例如 Clion 构建的项目cmakeLists.txt 文件，添加了如下 3 个依赖，gcc 编

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

信安成长日记

关注关注

0
点赞
踩
6

收藏

觉得还不错? 一键收藏
2
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

订阅专栏

Fortify代码扫描工具

曰业而安的博客

12-26

1万+

一、Fortify介绍 Fortify是一款强大的静态代码扫描分析工具，其发现代码漏洞缺陷的能力十分强悍，主要是将代码经过编译，依托于其强大的内置规则库来发现漏洞的。其次fortify SCA团队在开发此商业工具时，也提供了自定义规则的接口，只要经过正版授权后，便可以在此基础上自定义规则，来增强Fortify SCA的漏洞识别能力，同时经过自定义规则，也可以降低误报，使静态分析的准确度和高效性。默认情况下，Fortify SCA使用安装的安全编码规则包来检查源代码，并定义一系列...

fortify代码扫描使用教程

热门推荐

weixin_42464155的博客

09-13

6万+

配置信息：HP Fortify SCA and Applications 4.10+WIN7（64位家庭版）打开fortify的工作台，选择Advanced Scan（如果你知道源代码是java的可以选择Scan Java，C#可以选择Scan VS，不知道的话就选Advanced Scan）选择代码文件夹，如果代码文件很大，建议拆开一个文件夹一个文件夹扫描确定后，弹出通知框...

2 条评论您还未登录，请先登录后发表或查看评论

Fortify-SCA扫描指南

08-01

本指南详细介绍了fortify工具的详细使用过程,以及命令的使用说明

Fortify-SCA-扫描工具指导手册.pdf

09-06

fortify扫描工具的说明手册，对实际工作有指导作用，讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b <build-id>-clean o sourceanalyzer -b <build-id> sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b <buildid> <files> sourceanalyzer -b <buildid> javac <compiler opts> <files> G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files> NET: sourceanalyzer -b <buildin> <exe file> scan〓 sourceanalyzer -b <buildid> -scan -f results. fpr Output opt ions -format <fmt> Controls the output format. Valid options are auto, fpr. fvdl, and text. Default is auto for which type will be determined automatically based on file extension 一￡<fi1e> The file to which results are written Default is stdout build-pro ject <name> The name of the project being scanned. Will be inc luded in the output bu⊥1d-1abe1<labe1> The1abe1 of the project being scanned.W主工1 be inc luded in the output build-version <version> The version of the project being scanned. wil1RTIFY. e uale OFTWARE Fortify SCA转换源代码转换Java代码 Java程序命令行语法 JaVa命令行语法例子转换J2EE应用程序使用 Find bugs 转换NET源代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net version 2005 转换CC++代码 ●转换 PL/SQLITSQL FORTIFY SCA转换JAVA源代码命令 sourceanalyzer -b <build-id> -cp <classpath> <file-list> ●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron -appserver-home Table 1: File specifiers File specifier Description darna盈e All files found under the named directory or any subdirectories dx己盈e/古古 Any file named Example. java found under the named Example java directory or any subdirectories dx22盈e/,ava Any file with the extension. j ava found in the named directory dxna盈e吉/古,java Any file wth the extension j ava found under the named directory or any subdirectories d工22a盈e/方/吉 All files found under the named directory or ary subdirectories (same as dirname FORTIFY

Fortify-SCA-and-Apps-.22.2 使用说明

最新发布

gitblog_06704的博客

04-28

802

Fortify-SCA-and-Apps-.22.2 使用说明【下载地址】Fortify-SCA-and-Apps-.22.2使用说明 Fortify-SCA-and-Apps-.22.2 是一款强大的静态源代码安全测试工具，专为识别和解决软件源代码中的安全隐患而设计。通过其内置的五种主要分析引擎——数据流、语义、结构...

关于Fortify扫描C/C++代码

xiangxiao1842的博客

04-09

3121

Fortify安装过程中有一个步骤是安装插件，提供Visual Studio、eclipse、IDEA的插件，选取后会自动检测已安装的IDE安装对应的插件。Fortify扫描C/C++代码时需做编译的动作，直接用Fortify扫描会得不到扫描结果，用VS的插件才可以。先说结论：Fortify扫描C/++代码需通过VS的插件，直接在Fortify扫描是得不到结果的。

C_C++ 静态代码安全检查工具研究

11-06

静态代码安全检查工具是一种能够帮助程序员自动检测出源程序中是否存在安全缺陷的软件。它通过逐行分析程序的源代码，发现软件中潜在的安全漏洞。本文针对C/C++语言程序设计中容易存在的多种安全问题，分别分析了问题的根源，给出了具体可行的分析及检测方法。最后通过对静态代码安全检查工具优缺点的比较，给出了一些提高安全检查效果的建议。

代码审计神器Fortify - Fortify SCA 20.1.1

12-24

Fortify 详细安装使用可参考我的文章 [ 代码审计篇 ] Fortify安装及使用详解（一）Fortify安装并设置语言为中文导出中文报告 Fortify 是一个静态的、白盒的软件源代码安全测试工具。它通过内置的五大主要分析引擎：数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析，通过与软件安全漏洞规则集进行匹配、查找，从而将源代码中存在的安全漏洞扫描出来，并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。 Fortify首先通过调用语言的编译器或者解释器把前端的语言代码（如JAVA，C/C++源代码）转换成一种中间媒体文件NST（Normal Syntax Tree），将其源代码之间的调用关系，执行环境，上下文等分析清楚。通过分析不同类型问题的静态分析引擎分析NST文件，同时匹配所有规则库中的漏洞特征，将漏洞抓取出来，然后形成包含详细漏洞信息的FPR结果文件，用AWB打开查看。

c语言fortify扫描报告,fortify代码扫描问题结果分析

weixin_39656853的博客

05-18

1205

最近项目的代码使用fortify工具扫描了一下，发现了项目中存在的一些问题，在以后代码编写的过程中要注意，避免出现类似的错误。以下为本次代码分析工具FORTIFY对代码的分析结果。这些问题虽然古老、简单然而经典，也是需要引起重视。代码问题主要集中在如下类别：存在安全隐患、存在资源泄漏隐患、序列化问题、字符串比较、异常处理问题，以及其它一些BAD PRACTICE和粗心引起的问题。J2EE Bad ...

Fortify Scan - Static Code Analyzer

weixin_33717298的博客

06-28

1134

https://software.microfocus.com/en-us/products/application-security-testing/overview https://software.microfocus.com/en-us/products/static-code-analysis-sast/overview https://marketplace.microfoc...

fortify扫描问题总结

04-07

fortify扫描问题总结，系统安全类

fortify使用教程

08-23

Fortify使用简明教程，快速入门，软件测试代码安全性的有效工具。

fortify扫描c语言

08-19

- *1* [windows fortifySCA 扫描 c/c++ 项目](https://blog.youkuaiyun.com/SHELLCODE_8BIT/article/details/130170199)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

FortifySCA：源代码安全测试工具详解

- 编程语言：涵盖广泛，包括Java、C#、C/C++、Python、JavaScript等。 4. 插件支持和跨层分析： - Fortify SCA有插件支持不同开发环境，如Eclipse、IntelliJ IDEA等。 - 跨层分析能力使其能覆盖整个软件开发生命...

【源代码扫描工具】-fortify SCA使用

zhaizhai的博客

06-30

1万+

1-Fortify SCA 静态分析原理1）Translation-把各种语言的源代码转为一种统一的中间语言代码。即通过调用语言的编译器或者解释器把前端的语言代码（如JAVA，C/C++源代码）转换成一种中间媒体文件NST（Normal Syntax Tree）将其源代码之间的调用关系，执行环境，上下文等分析清楚。首先通过调用语言的编译器或者解释器把前端的语言代码（如JAVA，C/C...

Fortify 代码扫描安装使用教程

回忆式~过去.的博客

05-17

2万+

Fortify安装使用简易教程双击安装应用程序点击Next进行下一步接受协议，点击Next 选择安装位置或者默认位置，点击Next 勾选你要安装的插件，点击Next下一步选择\fortify.license，点击下一步选择更新服务器，这里可以不用填写移除之前版本选择NO 安装实例代码项目选择No 准备安装，点击Next即可进行安装安装完成后需要把规则库下的文件解压或者复制到安装目录的Core\config下应用程序搜索Scan Wizard，双击Audit Work

Fortify Scan

shappy1978的专栏

11-21

543

sourceanalyzer -b buidl_id -Xmx8000M xcodebuild clean build -workspace xxx.xcworkspace -scheme xxx -configuration Release build "CODE_SIGN_IDENTITY=iPhone Distribution: xxx" sourceanalyzer -b bui...

Fortify源码扫描

PJF1501105594的博客

05-07

607

FortifyFortifyFortifyfortify