簡介

Fortify 是一個靜態(tài)的、白盒的軟件源代碼安全測試工具。它通過內(nèi)置的五大主要分析引擎：數(shù)據(jù)流、語義、結構、控制流、配置流等對應用軟件的源代碼進行靜態(tài)的分析，通過與軟件安全漏洞規(guī)則集進行匹配、查找，從而將源代碼中存在的安全漏洞掃描出來，并可導出報告。掃描的結果中包括詳細的安全漏洞信息、相關的安全知識、修復意見。

原理

-首先通過調(diào)用語言的編譯器或者解釋器把前端的語言代碼（如JAVA，C/C++源代碼）轉(zhuǎn)換成一種中間媒體文件NST（Normal Syntax Tree），將其源代碼之間的調(diào)用關系，執(zhí)行環(huán)境，上下文等分析清楚。
-通過分析不同類型問題的靜態(tài)分析引擎分析NST文件，同時匹配所有規(guī)則庫中的漏洞特征，將漏洞抓取出來，然后形成包含詳細漏洞信息的FPR結果文件，用AWB打開查看。

支持語言

1.asp.net
2.VB.Net
3.c#.Net
4.ASP
5.VS6
7.java
8.JSP
9.javascript
10.HTML
11.XML
12.C/C++
13.PHP
14.T-SQL
15.PL/SQL
16.Action script
17.Object-C (iphone-2012/5)
18.ColdFusion5.0 - 選購
19.python -選購
20.COBOL - 選購
21.SAP-ABAP -選購

掃描步驟

配置信息：HP Fortify SCA and Applications 4.10+WIN10（64位家庭版）
步驟1、打開fortify的工作臺

360截圖167203306411691.png

步驟2、如果源代碼是java，選擇Scan Java，源碼是C#選擇Scan VS，不知道的話選擇Advanced Scan

2.png

步驟3、選擇代碼文件夾（不建議將文件夾拆開，如果文件夾過大，可要求開發(fā)人員拆開，按文件夾分開掃描）

3.png

步驟4、確定后，彈出通知框，如下圖，選擇java版本，點擊OK

4.png

根據(jù)情況選擇后，點擊Scan，等待掃描

5.png

6.png

步驟5、掃描完成后的界面

360截圖17690619437688.png

360截圖17630328417186.png

tips：可通過菜單欄進行界面的組件的配置

360截圖17001022376126.png

步驟6、對結果進行分析，填寫分析結論及備注信息

360截圖1700102097141113.png

步驟7、點擊菜單欄的reports，選擇審計規(guī)則，導出即可

360截圖18250901395795.png