如何利用Fortify Linux增强系统安全性?

Fortify Linux 安装与使用详解

fortify linux

一、Fortify 简介

Fortify 是一个静态的、白盒的软件源代码安全测试工具,它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告,扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。

二、Fortify 原理

首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree),将其源代码之间的调用关系,执行环境,上下文等分析清楚,通过分析不同类型问题的静态分析引擎分析NST文件,同时匹配所有规则库中的漏洞特征,将漏洞抓取出来,然后形成包含详细漏洞信息的FPR结果文件,用AWB打开查看。

三、Fortify SCA 引擎介绍

数据量引擎:跟踪、记录并分析程序中的数据传递过程所产生的安全问题。

语义引擎:分析过程中不安全的函数,方法的使用的安全问题。

fortify linux

结构引擎:分析程序上下文环境、结构中的安全问题。

控制流引擎:分析程序特定时间、状态下执行操作指令的安全问题。

配置引擎:分析项目配置中的敏感信息和配置确实的安全问题。

四、Fortify 支持语言

Fortify SCA支持的21种语言,分别是:asp.net, VB.Net, c#.Net, ASP, VBscript, VS6, java, JSP, javascript, HTML, XML, C/C++, PHP, T-SQL, PL/SQL, Action script, Object-C (iphone-2012/5), ColdFusion5.0 选购, python 选购, COBOL 选购, SAP-ABAP 选购。

五、Fortify 下载

可以从官方网站或其他可信来源下载Fortify软件包。

fortify linux

六、Fortify 安装步骤

准备工作

确保系统已经安装了必要的依赖软件,如JDK、GCC等。

关闭防火墙和SSH服务,确保网络畅通。

安装 Fortify

将Fortify安装所需要的安装包HP_Fortify_SCA_and_Apps_4.10_linux_x64.run和license文件fortify.license放到要安装的主机上。

执行以下命令开始安装:

     chmod +x HP_Fortify_SCA_and_Apps_4.10_linux_x64.run
     ./HP_Fortify_SCA_and_Apps_4.10_linux_x64.run

按照提示完成安装过程,包括接受协议、选择安装路径、选择组件、选择license、设置更新服务器等。

替换jar包

安装完成后,将下载的fortify-common-20.1.1.0007.jar包替换掉fortify安装目录下的Corelib目录下的同名包。

4. 添加rules和ExternalMetadata

将规则包rules放入Coreconfig目录下;

将ExternalMetadata放入Coreconfig目录。

运行Fortify

在终端中输入以下命令运行Fortify:

     /opt/Fortify/Fortify_SCA_and_Apps_20.1.0/bin/sourceanalyzer -b mailServer -clean

如果提示是否更新规则,选择“否”。

七、修改语言为中文

可以通过以下两种方式将Fortify界面设置为中文:

1、运行scapostinstall.cmd修改为中文:

   cd /opt/Fortify/Fortify_SCA_and_Apps_20.1.1/bin
   ./scapostinstall.cmd

选择设置 > 常规设置 > 本地的 > 中文 > 退出设置面板。

2、直接在fortify前端面板修改设置:

进入选项 > 语种 > 选择中文。

八、Fortify 简单扫描并导出报告

1、打开工作台;

2、选择静态代码所在目录,进行扫描;

3、扫描完成后,导出报告;

4、查阅报告。

九、常见问题解答

Q1: Fortify 支持哪些编程语言?

A1: Fortify SCA支持多种编程语言,包括但不限于Java, C/C++, JavaScript, .NET, COBOL, Python等,具体支持的语言列表请参考官方文档或相关资源。

Q2: Fortify 如何与其他安全工具集成?

A2: Fortify可以与其他安全工具集成,以实现更全面的安全检测,可以将Fortify与持续集成/持续部署(CI/CD)管道集成,自动对代码进行静态分析,还可以将Fortify的结果与其他安全工具(如动态分析工具)的结果进行关联分析,以提高安全检测的准确性和效率,具体的集成方式取决于所使用的其他安全工具和环境配置。

以上就是关于“fortify linux”的问题,朋友们可以点击主页了解更多内容,希望可以够帮助大家!

原创文章,作者:K-seo,如若转载,请注明出处:https://www.kdun.cn/ask/732456.html

Like (0)
Donate 微信扫一扫 微信扫一扫
K-seoK-seo
Previous 2024-12-14 04:55
Next 2024-12-14 04:58

相关推荐

  • 服务器超级管理员密码被黑客篡改,该如何应对?

    服务器超级管理员密码被黑客修改是一个严重的安全问题,可能导致数据泄露、系统瘫痪等严重后果,以下是关于这一问题的详细回答,包括可能的原因、应对措施以及预防策略:一、可能的原因1、安全漏洞:服务器软件或操作系统存在未修补的安全漏洞,黑客利用这些漏洞绕过密码保护机制,直接修改密码,2、弱密码:密码设置过于简单,如使用……

    2024-12-07
    08
  • 服务器为何会遭受攻击?

    服务器被攻击是指网络攻击者利用各种手段对服务器进行破坏、窃取数据或干扰正常服务的行为,以下是一些常见的服务器攻击类型及其应对措施:1、DDoS攻击定义:分布式拒绝服务攻击,通过大量合法的请求占用服务器资源,导致合法用户无法获得服务,应对措施:使用高防服务器、部署高防IP或CDN服务来分散流量,配置防火墙和安全组……

    2024-12-15
    07
  • 如何通过漏洞扫描来发现并利用安全漏洞以赚取利润?

    利用漏洞赚钱通常指的是通过发现软件、系统或服务中的安全缺陷(漏洞),然后利用这些漏洞来获取未授权的利益,如盗取数据、获得非法访问权限或窃取资金。而漏洞扫描是使用专门的软件工具自动检测网络或系统中可能存在的安全漏洞的过程。

    2024-07-30
    062
  • 木马服务器是如何实现对目标的控制的?

    木马服务器通过远程命令控制目标,执行恶意操作,窃取数据。

    2024-10-26
    021
  • java漏洞代码审计检测方法

    Java漏洞代码审计检测方法随着互联网的发展,Java作为一种广泛使用的编程语言,其安全性也受到了越来越多的关注,Java漏洞代码审计检测方法是一种通过分析Java程序源代码,发现潜在的安全漏洞并进行修复的方法,本文将详细介绍Java漏洞代码审计检测方法的技术原理、常用工具和实践技巧。技术原理Java漏洞代码审计检测方法主要依赖于静态……

    2024-03-04
    0209
  • App 证书被撤销会带来哪些影响?

    APP证书撤销在移动应用开发和发布过程中,获取并维护有效的应用证书是至关重要的,有时候由于各种原因,开发者可能需要撤销已经颁发的应用证书,本文将详细介绍APP证书撤销的原因、流程以及相关注意事项,一、APP证书撤销的原因1、安全漏洞:如果发现应用证书存在安全漏洞,如私钥泄露,应立即撤销该证书以防止恶意攻击,2……

    2024-11-28
    05

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

免备案 高防CDN 无视CC/DDOS攻击 限时秒杀,10元即可体验  (专业解决各类攻击)>>点击进入