静态代码检查--Fortify 使用方法

最新推荐文章于 2025-10-04 19:18:33 发布
原创 最新推荐文章于 2025-10-04 19:18:33 发布 · 7.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文档介绍了如何使用 Fortify 进行静态代码检查,以提升软件安全性和质量。以插件 'func_demo' 为例,详细阐述了与之对应的 makefile 文件配置和检查流程。
部署运行你感兴趣的模型镜像


假定待检查的插件为”func_demo":(相应makefile文件跟插件相对应)

======================================================
Windows:
清理历史编译
sourceanalyzer -b "func_demo" -clean
执行编译检查
sourceanalyzer -b "func_demo" touchless nmake -f makefile.win64
输出检查结果
sourceanalyzer -b "func_demo" -scan -f "func_demo.fpr"
生成检查报告
ReportGenerator -template ctcsReprot.xml -format pdf -f func_demo.pdf -source func_demo.fpr
======================================================

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

代码质量利器:Fortify SCA使用指南:1
知行合一 止于至善
06-11 9904
静态代码分析器SCA(Static Code Analyzer):包含多种语言的安全相关的规则,而对于这些规则相关的违反状况则是SCA重点确认的内容。SCA可以做到快速准确定位修正场所,同时还可以定制安全规则。
安全测试工具fortify使用指南
03-11
1. **Fortify Static Code Analyzer (SCA)**:这是一种静态代码分析工具,能够检测应用程序的代码以发现潜在的安全问题。 2. **Fortify WebInspect**:这是一种动态应用安全测试工具(Dynamic Application ...
代码审计工具-Fortify详细介绍和使用
ffffffuk的博客
09-16 2万+
Fortify SCA详细 1.1 Fortify SCA概述 1、Source Code Analysis 阶段概述 Audit Workbench 会启动 Fortify SCA“Scanning(扫描)”向导来扫描和分析代码。该向导整合了以下几个分析阶段: 转换:使用代码创建中间文件,代码与一个 Build ID相关联,Build ID通常就是项目名称。 扫描与分析:扫描中间文件,分析代码,并将结果写入一个Fortify Project Results(FPR)文件。 校验:确保所有文件均包含
别再只当GitHub旁观者!从0到1搞懂程序员“刷爆”的宝藏平台,新手也能快速上手
最新发布
IAMIF12的博客
10-04 588
坚持一周,你会发现自己的代码有了“落脚点”;- 用 GitHub Pages 搭个人博客:不用买服务器、不用懂域名解析,只要在仓库里新建一个“gh-pages”分支,上传写好的HTML、CSS文件,GitHub 就会给你分配一个免费域名(比如你的用户名.github.io),几分钟就能搭好一个简洁的技术博客。看到好的项目(比如“100个Python小案例”),点一下右上角的 Star,就能把它放进你的“Stars”列表里,以后想找的时候直接在首页点“Stars”就能快速定位,不用再靠关键词大海捞针。
关于Fortify扫描C/C++代码
xiangxiao1842的博客
04-09 3345
Fortify安装过程中有一个步骤是安装插件,提供Visual Studio、eclipse、IDEA的插件,选取后会自动检测已安装的IDE安装对应的插件。Fortify扫描C/C++代码时需做编译的动作,直接用Fortify扫描会得不到扫描结果,用VS的插件才可以。先说结论:Fortify扫描C/++代码需通过VS的插件,直接在Fortify扫描是得不到结果的。
代码静态检查fortify
brucexu1978的专栏
11-01 2175
http://www.cnblogs.com/hyddd/archive/2009/02/23/1396790.html
已解决!!Fortify工具打开时报错:An error has occurred*
ohsusu的博客
02-10 1951
使用Fortify自带的卸载工具Uninstall_FortifySCAandApps_20.2.2,卸载Fortify自动加载的C盘中的配置文件,卸载后重新打开auditworkbench.cmd,问题解决!从网上找了很多解决办法均失败,最后通过最原始的办法解决。
静态代码安全检测工具比较.pdf
06-20
【描述】:本文将对Fortify SCA、Checkmarx CxSuite和Armorize CodeSecure这三款静态代码安全检测工具进行详细的对比,探讨它们的特点、优势和局限性,以便于理解和选择适合的代码审计工具。 【标签】:SAST...
gcc demo.c -o demo_safe -fstack-protector -D_FORTIFY_SOURCE=2 -Wformat-security
03-10
同时,确保用户知道这些选项需要配合其他措施,如代码审查、静态分析等,才能全面增强安全。 可能用户遇到的错误或疑问,比如为什么用了这些选项还是存在漏洞,这时候需要解释这些措施是缓解而非彻底消除风险。或者...
代码检测工具Fortify3.4
03-01
Fortify 3.4是一款强大的静态应用程序安全测试(SAST)工具,专用于代码检测,以发现潜在的安全漏洞。在软件开发过程中,尤其是在敏捷开发环境中,确保代码安全变得至关重要。Fortify工具通过深入代码分析,能够在...
Fortify SCA 代码规则库-支持Java
02-27
使用静态代码分析技术来扫描Java等编程语言的代码,无需执行程序,即可在开发阶段找出可能的安全问题,从而帮助开发者在早期就消除安全隐患。 在“Fortify SCA 代码规则库-支持Java”中,Fortify提供了针对Java...
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b <build-id>-clean o sourceanalyzer -b <build-id> sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式 插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明 查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b <buildid> <files> sourceanalyzer -b <buildid> javac <compiler opts> <files> G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files> NET: sourceanalyzer -b <buildin> <exe file> scan〓 sourceanalyzer -b <buildid> -scan -f results. fpr Output opt ions -format <fmt> Controls the output format. Valid options are auto, fpr. fvdl, and text. Default is auto for which type will be determined automatically based on file extension 一£<fi1e> The file to which results are written Default is stdout build-pro ject <name> The name of the project being scanned. Will be inc luded in the output bu⊥1d-1abe1<labe1> The1abe1 of the project being scanned.W主工1 be inc luded in the output build-version <version> The version of the project being scanned. wil1RTIFY. e uale OFTWARE Fortify SCA转换代码 转换Java代码 Java程序命令行语法 JaVa命令行语法例子 转换J2EE应用程序 使用 Find bugs 转换NET代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net version 2005 转换CC++代码 ●转换 PL/SQLITSQL FORTIFY SCA转换JAVA代码命令 sourceanalyzer -b <build-id> -cp <classpath> <file-list> ●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron -appserver-home Table 1: File specifiers File specifier Description darna盈e All files found under the named directory or any subdirectories dx己盈e/古古 Any file named Example. java found under the named Example java directory or any subdirectories dx22盈e/,ava Any file with the extension. j ava found in the named directory dxna盈e吉/古,java Any file wth the extension j ava found under the named directory or any subdirectories d工22a盈e/方/吉 All files found under the named directory or ary subdirectories (same as dirname FORTIFY
Touchless(csharp open source)
02-04
Touchless - A super cool idea, to create 'multi touch' applications using a web cam!!. The web cam input is used to do motion tracking of colored objects you place in front of it, to simulate multi touch capabilities, like resizing an image or drawing. Again, cool concept. ---codeplex
Linux pwn入门教程(9)——stack canary与绕过的思路
子曰小玖的博客
06-04 2939
https://bbs.ichunqiu.com/thread-44069-1-1.html 0x00 canary简介 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实现。canary的意思是金丝雀,来于英国矿井工人用来探查井下气体是否有毒的金...
Fortify SCA快速入门以及常见问题解决方法
热门推荐
一个测试工程师的代码世界
10-15 5万+
本篇将透过HP_Fortify_SCA_and_Apps_3.80从实用主义的角度入手,使读者能够快速的对该工具进行使用和对一些可能出现的常见问题进行处理,从而完成一个完整流程的代码安全性静态扫描测试。快速入门 规则库导入: 所有的扫描都是基于规则库进行的,因此,建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\Cor
栈溢出技巧(下)
m0_59598029的博客
08-10 560
canary这个值被称作金丝雀(“canary”)值,指的是矿工曾利用金丝雀来确认是否有气体泄漏,如果金丝雀因为气体泄漏而中毒死亡,可以给矿工预警。在brop中也提到过,通过爆破的办法去进行绕过canary保护,因为canary的值在每次程序运行时都是不同的,所以这需要一定的条件:fork的子进程不变,题目中很难遇到,所以我们可以使用stacksmash的方法进行泄漏内容。
打开Eclipse弹出错误提示:The Eclipse executable launcher was unable to locate its companion shared library.
sinat_35608637的博客
06-06 7530
中文意思:Eclipse可执行文件的启动器无法找到它的共享库 系统库被破坏,在网上找了各种方法都不行,最后新下载了一个eclipse
fortify的linux环境使用步骤
happygogf的专栏
12-24 1万+
fortify的linux环境使用步骤  http://china.ygw.blog.163.com/blog/static/6871974620120142244616/ 安装步骤如下:         1)安装fortify软件。linux环境下的fortify软件是个绿色安装包,解压就完成安装;         2)拷贝fortify.license文件到
Fortify 安装及使用详解(中文版导出设置)
weixin_61240867的博客
07-18 2万+
Fortify 是一个静态的、白盒的软件代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。数据量引擎:跟踪、记录并分析程序中的数据传递过程所产生的安全问题。语义引擎:分析过程中不安全的函数,方法使用的安全问题。结构引擎:分析程序上下文环境、结构中的安全问题。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值