windows fortifySCA 扫描 c/c++ 项目

已于 2023-09-27 10:11:46 修改
阅读量3.8k 收藏 6
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全工具 文章标签: fortify windows c++
于 2023-04-15 15:20:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SHELLCODE_8BIT/article/details/130170199
本文介绍了如何在Windows上使用Fortify Static Code Analyzer (SCA) 对C/C++项目进行安全扫描。首先,下载并配置mingw64,将bin目录添加到环境变量。接着,利用sourceanalyzer.exe进行编译和扫描,详细说明了扫描选项以及如何处理编译依赖。在Clion项目中,需要添加特定的编译选项来避免链接错误。完成扫描后,会在工作目录生成builde_id.fpr文件,通过Fortify工具打开并查看扫描结果和漏洞详情。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、下载 mingw64 

MinGW-w64 - for 32 and 64 bit Windows - Browse Files at SourceForge.net

 下载解压,把它的 bin 目录路径设置到环境变量中

2、扫描

使用 fortify bin 目录下的 sourceanalyzer.exe 进行编译处理和扫描, sourceanalyzer.exe -help 可以查看所有扫描选项,扫描单个 c 文件的选项如下

sourceanalyzer.exe -b build_id gcc.exe <编译选项>

sourceanalyzer.exe -b build_id -scan -verbose -f builde_id.fpr

进行扫描时记得添加编译选项,和正常的 gcc 编译一样

例如 Clion 构建的项目cmakeLists.txt 文件,添加了如下 3 个依赖,gcc 编

了解本专栏 订阅专栏 解锁全文 超级会员免费看
c语言fortify扫描报告,fortify代码扫描问题结果分析
weixin_39656853的博客
05-18 1206
最近项目的代码使用fortify工具扫描了一下,发现了项目中存在的一些问题,在以后代码编写的过程中要注意,避免出现类似的错误。以下为本次代码分析工具FORTIFY对代码的分析结果。这些问题虽然古老、简单然而经典,也是需要引起重视。代码问题主要集中在如下类别:存在安全隐患、存在资源泄漏隐患、序列化问题、字符串比较、异常处理问题,以及其它一些BAD PRACTICE和粗心引起的问题。J2EE Bad ...
Fortify代码扫描工具
曰业而安的博客
12-26 1万+
一、Fortify介绍 Fortify是一款强大的静态代码扫描分析工具,其发现代码漏洞缺陷的能力十分强悍,主要是将代码经过编译,依托于其强大的内置规则库来发现漏洞的。其次fortify SCA团队在开发此商业工具时,也提供了自定义规则的接口,只要经过正版授权后,便可以在此基础上自定义规则,来增强Fortify SCA的漏洞识别能力,同时经过自定义规则,也可以降低误报,使静态分析的准确度和高效性。 默认情况下,Fortify SCA使用安装的安全编码规则包来检查源代码,并定义一系列...
关于Fortify扫描C/C++代码
xiangxiao1842的博客
04-09 3127
Fortify安装过程中有一个步骤是安装插件,提供Visual Studio、eclipse、IDEA的插件,选取后会自动检测已安装的IDE安装对应的插件。Fortify扫描C/C++代码时需做编译的动作,直接用Fortify扫描会得不到扫描结果,用VS的插件才可以。先说结论:Fortify扫描C/++代码需通过VS的插件,直接在Fortify扫描是得不到结果的。
Fortify-SCA-and-Apps-.22.2 使用说明
gitblog_06704的博客
04-28 807
Fortify-SCA-and-Apps-.22.2 使用说明 【下载地址】Fortify-SCA-and-Apps-.22.2使用说明 Fortify-SCA-and-Apps-.22.2 是一款强大的静态源代码安全测试工具,专为识别和解决软件源代码中的安全隐患而设计。通过其内置的五种主要分析引擎——数据流、语义、结构...
fortify代码扫描使用教程
weixin_42464155的博客
09-13 6万+
配置信息:HP Fortify SCA and Applications 4.10+WIN7(64位家庭版) 打开fortify的工作台,选择Advanced  Scan(如果你知道源代码是java的可以选择Scan Java,C#可以选择Scan VS,不知道的话就选Advanced Scan) 选择代码文件夹,如果代码文件很大,建议拆开一个文件夹一个文件夹扫描 确定后,弹出通知框...
Fortify Scan - Static Code Analyzer
weixin_33717298的博客
06-28 1134
https://software.microfocus.com/en-us/products/application-security-testing/overview https://software.microfocus.com/en-us/products/static-code-analysis-sast/overview   https://marketplace.microfoc...
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b <build-id>-clean o sourceanalyzer -b <build-id> sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式 插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明 查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b <buildid> <files> sourceanalyzer -b <buildid> javac <compiler opts> <files> G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files> NET: sourceanalyzer -b <buildin> <exe file> scan〓 sourceanalyzer -b <buildid> -scan -f results. fpr Output opt ions -format <fmt> Controls the output format. Valid options are auto, fpr. fvdl, and text. Default is auto for which type will be determined automatically based on file extension 一£<fi1e> The file to which results are written Default is stdout build-pro ject <name> The name of the project being scanned. Will be inc luded in the output bu⊥1d-1abe1<labe1> The1abe1 of the project being scanned.W主工1 be inc luded in the output build-version <version> The version of the project being scanned. wil1RTIFY. e uale OFTWARE Fortify SCA转换源代码 转换Java代码 Java程序命令行语法 JaVa命令行语法例子 转换J2EE应用程序 使用 Find bugs 转换NET源代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net version 2005 转换CC++代码 ●转换 PL/SQLITSQL FORTIFY SCA转换JAVA源代码命令 sourceanalyzer -b <build-id> -cp <classpath> <file-list> ●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron -appserver-home Table 1: File specifiers File specifier Description darna盈e All files found under the named directory or any subdirectories dx己盈e/古古 Any file named Example. java found under the named Example java directory or any subdirectories dx22盈e/,ava Any file with the extension. j ava found in the named directory dxna盈e吉/古,java Any file wth the extension j ava found under the named directory or any subdirectories d工22a盈e/方/吉 All files found under the named directory or ary subdirectories (same as dirname FORTIFY
C/C++项目开发资源
08-28
C/C++项目开发资源C/C++项目开发资源C/C++项目开发资源C/C++项目开发资源C/C++项目开发资源C/C++项目开发资源C/C++项目开发资源C/C++项目开发资源C/C++项目开发资源C/C++项目开发资源C/C++项目开发资源C/C++项目开发...
Kinescode.rar_Windows编程_C/C++__Windows编程_C/C++_
08-09
在本项目中,"Kinescode.rar"是一个包含Windows编程示例的压缩包,主要涉及C/C++语言,用于实现摄像头录像功能。这个程序能够启动和停止录像,为我们揭示了在Windows平台上进行视频录制的基本原理和编码技术。下面将...
VsCode安装和配置c/c++环境(超完整,小白专用)
热门推荐
黄化的多多
07-21 59万+
1. vsCode配置C/C++环境 1. vsCode下载和安装 1. 下载Microsoft vsCode [vsCode在这里插入图片描述官网下载: https://code.visualstudio.com/ 2. 安装vsCode 3. 下载中文插件 我这边已经下载过,刚卸载但是没有重启编译器,所以界面显示了中文 2. MinGW编译器下载和配置 1. 下载MinGW 在线安装——下载MinGW-W64-install.exe(速度慢) 下载压缩包——×86_64-posix-
Fortify-SCA扫描指南
08-01
本指南详细介绍了fortify工具的详细使用过程,以及命令的使用说明
C_C++ 静态代码安全检查工具研究
11-06
静态代码安全检查工具是一种能够帮助程序员自动检测出源程序中是否存在安全缺陷的软件。它通过逐行分 析程序的源代码,发现软件中潜在的安全漏洞。本文针对C/C++语言程序设计中容易存在的多种安全问题,分别分析 了问题的根源,给出了具体可行的分析及检测方法。最后通过对静态代码安全检查工具优缺点的比较,给出了一些提 高安全检查效果的建议。
fortify扫描问题总结
04-07
fortify扫描问题总结,系统安全类
fortify使用教程
08-23
Fortify使用简明教程,快速入门,软件测试代码安全性的有效工具。
FIRST.zip_Windows编程_C/C++_
08-11
【标签】"Windows编程"和"C/C++"表明这个项目专注于在Windows操作系统下使用C/C++语言进行系统级或应用级的开发,涉及的技能包括文件操作、进程通信、线程管理、窗口和控件的创建等Windows API调用。 在压缩包内的...
SonarQube扫描c/c++及与Jenkins集成
最新发布
05-15
sonar-cxx-plugin插件安装
Fortify 代码扫描安装使用教程
回忆式~过去.的博客
05-17 2万+
Fortify安装使用简易教程 双击安装应用程序 点击Next进行下一步 接受协议,点击Next 选择安装位置或者默认位置,点击Next 勾选你要安装的插件,点击Next下一步 选择\fortify.license,点击下一步 选择更新服务器,这里可以不用填写 移除之前版本选择NO 安装实例代码项目选择No 准备安装,点击Next即可进行安装 安装完成后需要把规则库下的文件解压或者复制到安装目录的Core\config下 应用程序搜索Scan Wizard,双击Audit Work
【源代码扫描工具】-fortify SCA使用
zhaizhai的博客
06-30 1万+
1-Fortify SCA 静态分析原理1)Translation-把各种语言的源代码转为一种统一的中间语言代码。      即通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree)将其源代码之间的调用关系,执行环境,上下文等分析清楚。 首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C...
fortify扫描c语言
08-19
要使用Fortify进行C语言代码的扫描,可以按照以下步骤进行操作: 1. 首先,使用Fortify的sourceanalyzer.exe进行编译处理和扫描。您可以在fortify bin目录下找到sourceanalyzer.exe。使用以下命令行选项可以扫描单个C文件: sourceanalyzer.exe -b build_id gcc.exe <编译选项> 2. 接下来,执行以下命令进行扫描: sourceanalyzer.exe -b build_id -scan -verbose -f build_id.fpr 3. 如果您希望扫描更大的项目或代码文件较大,可以选择拆分成一个文件夹一个文件夹进行扫描,这样可以提高扫描速度。 4. 扫描完成后,您可以使用Fortify的Audit Workbench进行进一步的分析。双击启动Audit Workbench,并点击选择Advanced Scan。 5. 在Advanced Scan中,选择要扫描的源代码,并点击Next。 6. 选择要扫描的选项和规则包,根据您的情况进行配置。您还可以根据需要配置内存大小,以确保扫描过程中不会出现内存不足的情况。 7. 最后,点击Scan按钮开始扫描。 通过以上步骤,您就可以使用Fortify对C语言代码进行扫描,并获取安全漏洞的检测结果。请注意,具体的操作细节可能会因不同版本的Fortify而有所差异,建议您参考Fortify的文档或官方指南以获取更准确的操作步骤和信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [windows fortifySCA 扫描 c/c++ 项目](https://blog.youkuaiyun.com/SHELLCODE_8BIT/article/details/130170199)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Fortify 代码扫描安装使用教程](https://blog.youkuaiyun.com/qq_41648820/article/details/116937035)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信安成长日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值