Fortify Linux 安装与使用详解
一、Fortify 简介
Fortify 是一个静态的、白盒的软件源代码安全测试工具,它通过内置的五大主要分析引擎:数据流、语义、结构、控制流、配置流等对应用软件的源代码进行静态的分析,通过与软件安全漏洞规则集进行匹配、查找,从而将源代码中存在的安全漏洞扫描出来,并可导出报告,扫描的结果中包括详细的安全漏洞信息、相关的安全知识、修复意见。
二、Fortify 原理
首先通过调用语言的编译器或者解释器把前端的语言代码(如JAVA,C/C++源代码)转换成一种中间媒体文件NST(Normal Syntax Tree),将其源代码之间的调用关系,执行环境,上下文等分析清楚,通过分析不同类型问题的静态分析引擎分析NST文件,同时匹配所有规则库中的漏洞特征,将漏洞抓取出来,然后形成包含详细漏洞信息的FPR结果文件,用AWB打开查看。
三、Fortify SCA 引擎介绍
数据量引擎:跟踪、记录并分析程序中的数据传递过程所产生的安全问题。
语义引擎:分析过程中不安全的函数,方法的使用的安全问题。
结构引擎:分析程序上下文环境、结构中的安全问题。
控制流引擎:分析程序特定时间、状态下执行操作指令的安全问题。
配置引擎:分析项目配置中的敏感信息和配置确实的安全问题。
四、Fortify 支持语言
Fortify SCA支持的21种语言,分别是:asp.net, VB.Net, c#.Net, ASP, VBscript, VS6, java, JSP, javascript, HTML, XML, C/C++, PHP, T-SQL, PL/SQL, Action script, Object-C (iphone-2012/5), ColdFusion5.0 选购, python 选购, COBOL 选购, SAP-ABAP 选购。
五、Fortify 下载
可以从官方网站或其他可信来源下载Fortify软件包。
六、Fortify 安装步骤
准备工作
确保系统已经安装了必要的依赖软件,如JDK、GCC等。
关闭防火墙和SSH服务,确保网络畅通。
安装 Fortify
将Fortify安装所需要的安装包HP_Fortify_SCA_and_Apps_4.10_linux_x64.run和license文件fortify.license放到要安装的主机上。
执行以下命令开始安装:
chmod +x HP_Fortify_SCA_and_Apps_4.10_linux_x64.run
./HP_Fortify_SCA_and_Apps_4.10_linux_x64.run
按照提示完成安装过程,包括接受协议、选择安装路径、选择组件、选择license、设置更新服务器等。
替换jar包
安装完成后,将下载的fortify-common-20.1.1.0007.jar包替换掉fortify安装目录下的Corelib目录下的同名包。
4. 添加rules和ExternalMetadata
将规则包rules放入Coreconfig目录下;
将ExternalMetadata放入Coreconfig目录。
运行Fortify
在终端中输入以下命令运行Fortify:
/opt/Fortify/Fortify_SCA_and_Apps_20.1.0/bin/sourceanalyzer -b mailServer -clean
如果提示是否更新规则,选择“否”。
七、修改语言为中文
可以通过以下两种方式将Fortify界面设置为中文:
1、运行scapostinstall.cmd修改为中文:
cd /opt/Fortify/Fortify_SCA_and_Apps_20.1.1/bin ./scapostinstall.cmd
选择设置 > 常规设置 > 本地的 > 中文 > 退出设置面板。
2、直接在fortify前端面板修改设置:
进入选项 > 语种 > 选择中文。
八、Fortify 简单扫描并导出报告
1、打开工作台;
2、选择静态代码所在目录,进行扫描;
3、扫描完成后,导出报告;
4、查阅报告。
九、常见问题解答
Q1: Fortify 支持哪些编程语言?
A1: Fortify SCA支持多种编程语言,包括但不限于Java, C/C++, JavaScript, .NET, COBOL, Python等,具体支持的语言列表请参考官方文档或相关资源。
Q2: Fortify 如何与其他安全工具集成?
A2: Fortify可以与其他安全工具集成,以实现更全面的安全检测,可以将Fortify与持续集成/持续部署(CI/CD)管道集成,自动对代码进行静态分析,还可以将Fortify的结果与其他安全工具(如动态分析工具)的结果进行关联分析,以提高安全检测的准确性和效率,具体的集成方式取决于所使用的其他安全工具和环境配置。
以上就是关于“fortify linux”的问题,朋友们可以点击主页了解更多内容,希望可以够帮助大家!
原创文章,作者:K-seo,如若转载,请注明出处:https://www.kdun.cn/ask/732456.html
微信扫一扫 