静态代码检查--Fortify 使用方法

最新推荐文章于 2025-05-07 20:00:32 发布
原创 最新推荐文章于 2025-05-07 20:00:32 发布 · 7.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文档介绍了如何使用 Fortify 进行静态代码检查,以提升软件安全性和质量。以插件 'func_demo' 为例,详细阐述了与之对应的 makefile 文件配置和检查流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


假定待检查的插件为”func_demo":(相应makefile文件跟插件相对应)

======================================================
Windows:
清理历史编译
sourceanalyzer -b " func_demo" -clean
执行编译检查
sourceanalyzer -b " func_demo" touchless nmake -f makefile.win64
最低0.47元/天 解锁文章

200万优质内容无限畅学
Fortify SCA快速入门以及常见问题解决方法
一个测试工程师的代码世界
10-15 5万+
本篇将透过HP_Fortify_SCA_and_Apps_3.80从实用主义的角度入手,使读者能够快速的对该工具进行使用和对一些可能出现的常见问题进行处理,从而完成一个完整流程的代码安全性静态扫描测试。快速入门 规则库导入: 所有的扫描都是基于规则库进行的,因此,建立扫描任务的前提条件就是你需要把检查规则拷贝到HP_Fortify\HP_Fortify_SCA_and_Apps_3.80\Cor
代码质量利器:Fortify SCA使用指南:1
知行合一 止于至善
06-11 9712
静态代码分析器SCA(Static Code Analyzer):包含多种语言的安全相关的规则,而对于这些规则相关的违反状况则是SCA重点确认的内容。SCA可以做到快速准确定位修正场所,同时还可以定制安全规则。
关于Fortify扫描C/C++代码
xiangxiao1842的博客
04-09 3094
Fortify安装过程中有一个步骤是安装插件,提供Visual Studio、eclipse、IDEA的插件,选取后会自动检测已安装的IDE安装对应的插件。Fortify扫描C/C++代码时需做编译的动作,直接用Fortify扫描会得不到扫描结果,用VS的插件才可以。先说结论:Fortify扫描C/++代码需通过VS的插件,直接在Fortify扫描是得不到结果的。
代码静态检查fortify
brucexu1978的专栏
11-01 2159
http://www.cnblogs.com/hyddd/archive/2009/02/23/1396790.html
github入门教程(非常详细)从零基础入门到精通,看完这一篇就够了
最新发布
A1_3_9_7的博客
05-07 2万+
如果你是一枚Coder,但是你不知道Github,那么我觉的你就不是一个菜鸟级别的Coder,因为你压根不是真正Coder,你只是一个Code搬运工。说明你根本不善于突破自己!为什么这么说原因很简单,很多优秀的代码以及各种框架码都存放于github当中!
Linux pwn入门教程(9)——stack canary与绕过的思路
子曰小玖的博客
06-04 2841
https://bbs.ichunqiu.com/thread-44069-1-1.html 0x00 canary简介 我们知道,通常栈溢出的利用方式是通过溢出存在于栈上的局部变量,从而让多出来的数据覆盖ebp、eip等,从而达到劫持控制流的目的。然而stack canary这一技术的应用使得这种利用手段变得难以实现。canary的意思是金丝雀,来于英国矿井工人用来探查井下气体是否有毒的金...
安全测试工具fortify使用指南
03-11
1. **Fortify Static Code Analyzer (SCA)**:这是一种静态代码分析工具,能够检测应用程序的代码以发现潜在的安全问题。 2. **Fortify WebInspect**:这是一种动态应用安全测试工具(Dynamic Application ...
静态代码安全检测工具比较.pdf
06-20
【描述】:本文将对Fortify SCA、Checkmarx CxSuite和Armorize CodeSecure这三款静态代码安全检测工具进行详细的对比,探讨它们的特点、优势和局限性,以便于理解和选择适合的代码审计工具。 【标签】:SAST...
gcc demo.c -o demo_safe -fstack-protector -D_FORTIFY_SOURCE=2 -Wformat-security
03-10
同时,确保用户知道这些选项需要配合其他措施,如代码审查、静态分析等,才能全面增强安全。 可能用户遇到的错误或疑问,比如为什么用了这些选项还是存在漏洞,这时候需要解释这些措施是缓解而非彻底消除风险。或者...
Fortify SCA 代码规则库-支持Java
02-27
使用静态代码分析技术来扫描Java等编程语言的代码,无需执行程序,即可在开发阶段找出可能的安全问题,从而帮助开发者在早期就消除安全隐患。 在“Fortify SCA 代码规则库-支持Java”中,Fortify提供了针对Java...
Fortify 安装与使用
u012766140的博客
05-06 3628
最近跟码检测工具干上了,上期写了一篇sonarqube 工具的安装步骤,这期继续另一个码检测工具fortify 安装与使用步骤。。提示:以下是本篇文章正文内容,下面案例可供参考fortify也是一款比较流行的码检测工具,原理是将被检测语言(如JAVA/C/C++/C#代码)转换成一种中间媒体文件NST(Normal Syntax Tree)再进行检测。fortify支持的检测语言有:1、asp.net2、VB.Net3、c#.Net4、ASP5、VBscript。
Fortify-SCA-扫描工具指导手册.pdf
09-06
fortify扫描工具的说明手册,对实际工作有指导作用,讲的比较清晰。 Fortify SCA分析原理 Front-End 3rd party IDE Java Pug-In C/C++ MicrOsoL NET IBM.eclipse Audit workbench PLSQL XML Analysis Engine Semantic fdi/ fpr Gobal Data flow N Control Flow Configuration Structural Fortify Manager NST Rules builder Custom Pre-Packaged FORTIFY Fortify SCA分析过程 SCA Engine Intermediate Scan phase fles Using Analyzers Tt transation (NST) .Rules Analysis Result File -b build id 阶段一:转换阶段( Translation) 阶段二:分析阶段(Scan o sourceanalyzer-b <build-id>-clean o sourceanalyzer -b <build-id> sourceanalyzer-b <build-id> -Xmx1250m-scan-f results fpr FORTIFY Fortify SCA扫描的工作 Visual studio Eclipse, IBM RAD 面 Audit Workbench Java,. Net Fortify Global Build Tool C, C/C++ Analysis JSP Touchless Build Fortify PL/SQL IDE Intermediate FPR TSOL Model Cold Command Line Interface Fusion 运己 Fortify I m Manager Secure Coding Rules Fortify Customized Rules Rules FORTIFY Fortify SCA扫描的五种方式 插件方式: Plug-In(Eclipse, vs WsAd,rad) 命令行方式 Command line ●扫描目录方式: Audit workbench scan Folder 与其他工具集成: Scan with ANt, Makefile ●编译监控器方式: Fortify SCA Build Monitor FORTIFY Fortify SCA扫描的四个步骤 Fortify SCA扫描总共可以分为四个步骤: ●1. Clean:清除阶段: sourceanalyzer -b proName -clean 2. Translation:转换阶段 3.ShoW-fe:查看阶段 sourceanalyzer -b proName -show-files 4.scan:扫描阶段 sourceanalyzer-b proName -Xmx1250m -scan -f proName. fpr FORTIFY Fortify SCA命令行参数说明 查看SCA扫描命令及参数→> sourceanalyzer ca\ C:\VIRDoS\syste32\cd. exe 川 icrosoft Windows XP[版不5.1268g Kc版权所有1985-2 061 Microsoft Gorp :Documents and settings anming >sourceanalyzer --he lp Fortify Source Code Analyze4..日.回153 Copyright (c>2003-2006 Fortify Software Usage Bu⊥1d Java: sourceanalyzer -b <buildid> <files> sourceanalyzer -b <buildid> javac <compiler opts> <files> G/C++: sourceanalyzer -b <buildid> <compiler> <compiler opts> <files> NET: sourceanalyzer -b <buildin> <exe file> scan〓 sourceanalyzer -b <buildid> -scan -f results. fpr Output opt ions -format <fmt> Controls the output format. Valid options are auto, fpr. fvdl, and text. Default is auto for which type will be determined automatically based on file extension 一£<fi1e> The file to which results are written Default is stdout build-pro ject <name> The name of the project being scanned. Will be inc luded in the output bu⊥1d-1abe1<labe1> The1abe1 of the project being scanned.W主工1 be inc luded in the output build-version <version> The version of the project being scanned. wil1RTIFY. e uale OFTWARE Fortify SCA转换代码 转换Java代码 Java程序命令行语法 JaVa命令行语法例子 转换J2EE应用程序 使用 Find bugs 转换NET代码 o. NET Versions 1.1 and 2.0 Visual studio. net version 2003 o Visual studio.net version 2005 转换CC++代码 ●转换 PL/SQLITSQL FORTIFY SCA转换JAVA代码命令 sourceanalyzer -b <build-id> -cp <classpath> <file-list> ●附注参数:-Xmx;- encoding-jdk;- appserver- appserver- veron -appserver-home Table 1: File specifiers File specifier Description darna盈e All files found under the named directory or any subdirectories dx己盈e/古古 Any file named Example. java found under the named Example java directory or any subdirectories dx22盈e/,ava Any file with the extension. j ava found in the named directory dxna盈e吉/古,java Any file wth the extension j ava found under the named directory or any subdirectories d工22a盈e/方/吉 All files found under the named directory or ary subdirectories (same as dirname FORTIFY
Touchless(csharp open source)
02-04
Touchless - A super cool idea, to create 'multi touch' applications using a web cam!!. The web cam input is used to do motion tracking of colored objects you place in front of it, to simulate multi touch capabilities, like resizing an image or drawing. Again, cool concept. ---codeplex
FortifySCA用户使用手册
11-08
欢迎学习啊。
商业级Fortify_SCA_and_Apps_19.1.0_windows_x64
01-28
商业级Fortify白盒审计神器,是一个静态的、白盒的软件代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的代码进行静态的分析,分析的过程中与它特有的软件安全漏洞规则集进行全面地匹配、查找,从而将代码中存在的安全漏洞扫描出来,并给予整理报告。
[ 代码审计篇 ] Fortify 安装及使用详解(一)Fortify 下载安装并设置语言为中文导出中文报告
热门推荐
qq_51577576的博客
12-25 2万+
[ 代码审计篇 ] Fortify 安装及使用详解(一)Fortify 下载安装并设置语言为中文导出中文报告 Fortify 是一个静态的、白盒的软件代码安全测试工具。它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将代码中存在的安全漏洞扫描出来,并可导出报告。扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。
静态分析错误定位_由于未使用静态代码分析而无法找到的错误
cullen2012的博客
09-08 1162
静态分析错误定位 The idea is very simple. We'll search for examples of pull requests on GitHub that specify that an issue is a bugfix. Then we'll try to find these bugs using the PVS-Studio static code analy...
深入解析glibc中的strcpy和strncpy函数及其安全考量
极客代码
03-08 1197
在C语言编程中,字符串操作是常见的任务之一。`strcpy`和`strncpy`作为GNU C Library(glibc)提供的两个核心字符串复制函数,在实际开发中扮演了重要角色。然而,它们的安全性特性却有所差异,这直接影响到我们是否应当在特定场景下使用这些函数。本文将详细解析glibc中这两个函数的码实现,并通过实例来阐述为何不建议在某些情况下直接使用`strcpy`。
第37篇:fortify代码审计工具的使用技巧(1)-审计java代码过程
ABC_123的博客
12-19 3997
Part1 前言在正式文章之前,插播一下:恭喜梅西圆梦,获得世界杯冠军,加冕球王,一场精彩绝伦的球赛。开心之后,还是要静下心学习的,我们也要继续努力。Fortify全名叫Fortify SCA,是惠普公司HP的出品的一款代码安全测试工具,这家公司也出品过另一款很厉害的Web漏洞扫描器叫Webinspect。美国的Fortify、美国的Coverity、美国的Codesecure、美国的IBM...
2020年Fortify SCA规则升级与代码漏洞静态分析工具介绍
其功能主要包括静态代码分析(SCA),动态应用安全测试(DAST),依赖项分析,二进制扫描和web扫描等。静态代码分析是该工具的核心功能,它允许用户在不运行代码的情况下,对代码进行漏洞扫描和安全评估。 描述中...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值