最近接觸到一款代碼審計的工具 --- Fortify SCA and Applications 22.2.0，現(xiàn)就其基本使用做一簡單介紹！

Fortify是一個應(yīng)用安全測試軟件，是Micro Focus旗下AST（應(yīng)用程序安全測試）產(chǎn)品。
Fortify能夠提供靜態(tài)和動態(tài)應(yīng)用程序安全測試技術(shù)，以及運行時應(yīng)用程序監(jiān)控和保護功能，包括靜態(tài)代碼分析器（SAST）、動態(tài)應(yīng)用安全測試軟件（DAST）、軟件安全中心（SSC）和實時應(yīng)用程序自我保護（RASP）。
Fortify具有以下特點：

• 源代碼安全分析，精準(zhǔn)定位漏洞產(chǎn)生的路徑。
• 具有1分鐘1萬行的掃描速度。
• 啟發(fā)式掃描，探索應(yīng)用程序中的潛在風(fēng)險。
• 云端支持，提供更加智能的代碼分析服務(wù)。

工具安裝與簡單配置

工具在Windows系統(tǒng)上安裝非常簡單，不停的點擊“下一步”即可完成。安裝完成后，創(chuàng)建的程序組包括4個快捷方式，如下圖所示：

[圖片上傳失敗...(image-457469-1689079933570)]

• Audit Workbench：審計工作臺
• Custom Rules Editor:自定義規(guī)則編輯器
• Fortify Software Documentation:在線文檔
• Scan Wizard:掃描向?qū)?/li>

升級中文規(guī)則庫

打開Audit Workbench，點擊菜單“Options-->Options...”,

[圖片上傳失敗...(image-be6c34-1689079933570)]

1.點擊“Security Content Management”，在“Update Security Content from Server”區(qū)的Locale中選擇“Simplified Chinese”，點擊“Update”按鈕，完成后如下圖所示：

[圖片上傳失敗...(image-7559db-1689079933570)]

如果受license限制，無法升級到最新的規(guī)則庫，那么可行的方法就是通過其他渠道獲取一個最新的中文規(guī)則庫，手工對 ExternalMetadata 及 rules 兩個文件夾的文件進行替換。
目錄位置：

C:\Program Files\Fortify\Fortify_SCA_and_Apps_22.2.0\Core\config

代碼掃描

Fortify支持很多語言掃描，其中對Java支持最好，操作簡單。

• 啟動 Audit Workbench

[圖片上傳失敗...(image-1a56f1-1689079933570)]

• 點擊“Scan Java Project...”,選定Java項目文件夾，

[圖片上傳失敗...(image-68718c-1689079933570)]

• 選定JDK版本

[圖片上傳失敗...(image-713c36-1689079933570)]

• 確定掃描參數(shù)，點擊“Scan”開始代碼掃描。

審計結(jié)果

掃描結(jié)束后，結(jié)果自動導(dǎo)入到 Audit Workbench，掃描出的問題分為4個等級：

• Critical:嚴(yán)重
• Hign：高
• Medium:中
• Low:低

對于每一個問題，可以在Audit區(qū)域進行審計操作，Analysis分為：

• Not an Issue:誤報
• Reliability Issue:可靠性問題
• Bad Practice:不良行為
• Suspicious:可疑的
• Exploitable:可利用的

可以查看問題的詳細說明以及處理建議，也可以導(dǎo)出PDF或XML格式的報告。如下圖所示：

[圖片上傳失敗...(image-a2fb7f-1689079933570)]

以上就是代碼審計工具Fortify的基本用法。

本文到此結(jié)束，感謝您的觀看?。?！