[20][04][10] Fortify Static Code Analyzer 详解
文章目录
- 1. Fortify Static Code Analyzer 是什么
- 2. 工具介绍
- 3. 代码安全扫描实施步骤
- 3.1 清理
- 3.2 构建
- 3.3 扫描
1. Fortify Static Code Analyzer 是什么
是 Micro Focus 的一款代码安全扫描工具,属于 SAST(静态应用安全测试) 阶段, 支持 27 种开发语言的代码安全扫描, 可以通过 IDE 和 CI/CD 在本地无缝启动扫描
Fortify Static Code Analyzer 安装包
- Windows: Fortify_SCA_and_Apps__windows_x64.exe
- macOS: Fortify_SCA_and_Apps__osx_x64.app.zip
- Linux: Fortify_SCA_and_Apps__linux_x64.run
- Solaris: Fortify_SCA__solaris_x86.run or Fortify_SCA__solaris10_sparc.run
<version> 是软件发布版本
官方文档地址: https://www.microfocus.com/zh-cn/documentation/fortify-static-code-analyzer-and-tools/
2. 工具介绍
安装完成后目录结构
- Core\config\rules 下存放扫描规则包
- Core\config\customrules 下存放自定义规则和问题类型忽略配置
- bin 是存放工具类
3. 代码安全扫描实施步骤
使用 Fortify Static Code Analyzer 对代码进行安全扫描, 分为三个步骤
- 清理中间文件和构建记录
- 创建构建记录和生成中间文件
- 对构建记录发起扫描
3.1 清理
sourceanalyzer.exe -clean 命令用于清理中间文件和构建记录, 当使用-b 指定构建 ID 时, 只删除与该构建 ID 相关的文件和构建记录
清理所有构建记录 和 中间文件
sourceanalyzer.exe -clean清理指定构建 ID 相关的中间文件和构建记录
sourceanalyzer.exe -clean -b test_project
3.2 构建
进入需要安全扫描的代码目录下, 对需要安全扫描的代码进行构建
- 最基础的构建命令
sourceanalyzer.exe -b <build_id>将所有文件进行构建
sourceanalyzer.exe -b test_project
- 指定构建文件目录和文件类型
sourceanalyzer.exe -b test_project <file_specifiers>对所有 java 文件进行构建
sourceanalyzer.exe -b test_project "**/*.java"
- 指定排除目录和文件不参与代码扫描构建
sourceanalyzer.exe -b <build_id> -exclude <file_specifiers>对 test 目录下的所有文件不构建
sourceanalyzer.exe -b test_project -exclude "**/test/*"
3.3 扫描
- 对指定构建 ID 进行代码安全扫描
sourceanalyzer.exe -b <build_id> -scan对构建ID test_project 进行安全扫描
sourceanalyzer.exe -b test_project -scan
- 指定结果筛选器文件,过滤问题
sourceanalyzer.exe -b <build_id> -scan -filter <file>指定 xx/filter_ruleid.txt 文件筛选文件,过滤里面配置的漏洞
sourceanalyzer.exe -b test_project -scan -filter "xx/filter_ruleid.txt"
- 指定扫描结果文件路径和名称
指定代码扫描结果文件路径和文件名称
sourceanalyzer.exe -b test_project -scan -f <file>sourceanalyzer.exe -b test_project -scan -f /home/code/test-project-result.fpr配置扫描结果报告类型,提供几种格式报告: fpr, fvdl, fvdl.zip, text, and auto
sourceanalyzer.exe -b test_project -scan -format <format>sourceanalyzer.exe -b test_project -scan -format fpr
[20][04][10] Fortify Static Code Analyzer 详解相关推荐
- php之static静态变量详解
php之static静态变量详解 一.总结 把局部变量改变为静态变量后是改变了它的存储方式,即改变了它的生存期. 把全局变量改变为静态变量后是改变了它的作用域,限制了它的使用范围. 二.php之sta ...
- 第 20、21、22节 事件详解
第20.21.22节 事件详解.Linq 详解 初步了解事件 事件的应用 事件的声明 事件与委托的关系 初步了解事件 事件的功能 = 通知 + 可选的事件参数(即详细信息) 定义:单词 Event,译 ...
- php的 静态变量,PHP之static静态变量详解
在看别人项目过程中,看到函数里面很多static修饰的变量,关于static修饰的变量,作用域,用法越看越困惑,所以查了下资料. static用法如下: 1.static 放在函数内部修饰变量 2.s ...
- 十日均线算法oracle,10日均线法的详解
@@@.各位..注意该股必需是多头排列.....最好是多头市场.........这样正确率才高..收盘价在十天平均线上才可以考虑买入股票.股价跌破十天平均线时,必须卖出股票.有的人一定会觉得这太简单. ...
- 第10课:底实战详解使用Java开发Spark程序学习笔记
第10课:底实战详解使用Java开发Spark程序学习笔记 本期内容: 1. 为什么要使用Java? 2. 使用Java开发Spark实战 3. 使用Java开发Spark的Local和Cluster ...
- python3.6.5安装教程-Ubuntu16.04安装python3.6.5步骤详解
下载python3.6.5安装包 1. 上传安装包.打开终端,利用命令cd 进入文件所在文件夹里 python@ubuntu:~/workspace$pwd /home/python/workspac ...
- ubuntu安装python3.6_Ubuntu16.04安装python3.6.5步骤详解
下载python3.6.5安装包 1. 上传安装包.打开终端,利用命令cd 进入文件所在文件夹里 python@ubuntu:~/workspace$pwd /home/python/workspac ...
- python3.6.5下载安装教程_Ubuntu16.04安装python3.6.5步骤详解
下载python3.6.5安装包 1. 上传安装包.打开终端,利用命令cd 进入文件所在文件夹里 python@ubuntu:~/workspace$pwd /home/python/workspac ...
- Mysql高手系列 - 第20篇:异常捕获及处理详解(实战经验)
Mysql高手系列 - 第20篇:异常捕获及处理详解(实战经验) 参考文章: (1)Mysql高手系列 - 第20篇:异常捕获及处理详解(实战经验) (2)https://www.cnblogs.co ...
最新文章
- 招聘|腾讯机器人实验室语义视觉方向(实习+社招)
- 关于MATLAB处理大数据坐标文件2017529
- Go web之旅(路由篇)
- 分支-19. 阶梯电价
- HSRP (不同VLAN之间的热备份路由协议)
- boost::intrusive::set用法的测试程序
- python __builtins__ float类 (25)
- SQL疑难杂症【4 】大量数据查询的时候避免子查询
- 说下List接口下的那些类
- html5日程管理系统,有条不紊:四款桌面日程管理软件横测
- 项目遇到的问题总结(四):单页面首屏加载慢解决方案
- Linux操作系统应用领域详解
- MAC安装maven步骤
- 批判性思维-真理连贯论
- PyQt5 clicked和clicked[bool]信号区别
- mysql2005导出mdf,sql server 2005只有.mdf文件如何附加
- 贪心算法之田忌赛马(超详细)
- 第七章、Tiny4412 U-BOOT移植七 DDR内存配置
- 【问题解决】Selenium——NoSuchWindowException: Browsing context has been discarded
- euclidea教程_Euclidea - 有一种浪漫叫欧氏几何 - iPhone应用 - 【最美应用】