源代碼審計(jì)工具fortify代理商貨真價(jià)實(shí)「華克斯」

源代碼審計(jì)工具fortify代理商貨真價(jià)實(shí)「華克斯」[華克斯]內(nèi)容：

Fortify 軟件安全中心（SSC）

Micro Focus Fortify 軟件安全中心（SSC）是一個(gè)集中的管理存儲(chǔ)庫，為企業(yè)的整個(gè)應(yīng)用安全程序提供可視性，以幫助解決整個(gè)軟件組合的安全漏洞。

用戶可以評(píng)估、審計(jì)、優(yōu)先級(jí)排序和管理修復(fù)工作，安全測試活動(dòng)，并通過管理儀表板和報(bào)告來衡量改進(jìn)，以優(yōu)化靜態(tài)和動(dòng)態(tài)應(yīng)用安全測試結(jié)果。因?yàn)?Fortify SSC 服務(wù)器位于中心位置，可以接收來自不同應(yīng)用的安全性測試結(jié)果（包括靜態(tài)、動(dòng)態(tài)和實(shí)時(shí)分析等），有助于準(zhǔn)確描述整體企業(yè)應(yīng)用安全態(tài)勢。

Fortify SSC 可以對掃描結(jié)果和評(píng)估結(jié)果實(shí)現(xiàn)關(guān)聯(lián)跟蹤，并通過 Fortify Audit Workbench 或 IDE 插件（如 Fortify Plugin for Eclipse, Fortify Extension for Visual Studio）向開發(fā)人員提供這些信息。用戶還可以手動(dòng)或自動(dòng)地將問題推送到缺陷跟蹤系統(tǒng)中，包括 ALM Octane、JIRA、TFS/VSTS 和 Bugzilla 等。

Fortify 審計(jì)

Fortify掃描后生成的fpr文件，就是我們審計(jì)的目標(biāo)。Fortify會(huì)將源碼信息和識(shí)別到的風(fēng)險(xiǎn)記錄下來。

使用Fortify Audit Workbench打開文件后；左上角的小窗口會(huì)列出所有識(shí)別出來的潛在風(fēng)險(xiǎn)，雙擊即可查看對應(yīng)位置代碼。這里是一個(gè)在日志中打印IMEI的風(fēng)險(xiǎn)項(xiàng)，左下角可以看到整個(gè)數(shù)據(jù)鏈路，了解數(shù)據(jù)的傳遞路徑。視圖中上位置是代碼窗口，可以看到已經(jīng)將危險(xiǎn)代碼標(biāo)識(shí)出來。如果代碼窗口中的中文顯示亂碼，往往是因?yàn)镕ortify默認(rèn)的解析字節(jié)碼是GBK，可以在選中代碼文件后，點(diǎn)擊Edit->Set Encoding...選項(xiàng)，設(shè)置正確的編碼方式即可。中下位置則是對于規(guī)則的介紹，協(xié)助安全工程師確定問題，識(shí)別風(fēng)險(xiǎn)。右側(cè)的則是所有依賴的代碼的路徑。

在我們審計(jì)過程中，如果發(fā)現(xiàn)問題是誤報(bào)，可以右鍵風(fēng)險(xiǎn)項(xiàng)，選擇Hide in AWB，即可隱藏誤報(bào)問題。

然后是生成報(bào)告，我們可以選擇生成兩種報(bào)告：

BIRT是統(tǒng)計(jì)報(bào)告，可以按照不同標(biāo)準(zhǔn)顯示各種類型風(fēng)險(xiǎn)的統(tǒng)計(jì)信息。也可以選擇一些我們認(rèn)定是誤報(bào)的項(xiàng)，是否顯示。

Legacy表示信息的留存，該報(bào)告會(huì)將各風(fēng)險(xiǎn)項(xiàng)的信息依次打印出來，可以提供給業(yè)務(wù)確認(rèn)風(fēng)險(xiǎn)。

Fortify掃描Qt項(xiàng)目

Fortify對于C++類型的代碼掃描需要結(jié)合編譯指令實(shí)現(xiàn)，但Fortify支持的C++指令并不多，所以有些類似使用Qt工具開發(fā)的項(xiàng)目就需要做一定調(diào)整來適配Foritfy的掃描。使用gcc或者cl級(jí)別的命令來實(shí)現(xiàn)會(huì)很麻煩，因?yàn)樾枰獙τ赒t的qmake工具運(yùn)行邏輯有一定深入分析，熟知其生成的Makefile以來的環(huán)境和make工具，難度較大，所以更建議以Visual Studio的Fortify插件為入口，先將Qt項(xiàng)目轉(zhuǎn)成Visual Studio項(xiàng)目，再使用插件掃描，這樣就會(huì)容易很多。

我們簡單介紹一下流程:

1、在Visual Studio中安裝Qt Visual Studio Tools插件和Fortify插件。

2、在Qt插件的Qt Opt選項(xiàng)中配置編譯套件，該套件位置可以在Qt對應(yīng)版本下面，比如Qt\Qt5.12.8\5.12.8\msvc2017。

3、使用Qt插件的Open Qt Project File (.pro)...打開對應(yīng)的Qt項(xiàng)目，并使用插件的Convert custom build steps to Qt/MSBuild選項(xiàng)，將項(xiàng)目轉(zhuǎn)成vs項(xiàng)目，并生成對應(yīng)的.vcsproj文件。

測試能成功運(yùn)行后，就可以使用Fortify進(jìn)行掃描了。步驟類似與上面的Android項(xiàng)目，即可生成對應(yīng)的fpr文件。另外，如果想要使用命令來自動(dòng)化的進(jìn)行項(xiàng)目掃描，但不知道一個(gè)類型的項(xiàng)目如何進(jìn)行適配，可以解壓使用插件生成的fpr文件。查看其中audit.fvdl文件中的sun.mand屬性內(nèi)容，里面包含了該項(xiàng)目生成掃描中間文件的指令參數(shù)，可以參考了解如何配置自動(dòng)化的掃描平臺(tái)。

Fortify “Issue Auditing（問題審計(jì)）”面板：

“Issue Auditing（問題審計(jì)）”面板在以下一組選項(xiàng)卡中提供了有關(guān)各問題的詳細(xì)信息：

Summary（摘要）

Details（詳細(xì)信息）

Recommendat（建議）

History（歷史記錄）

Diagram（圖示）

Filter（過濾器）

注意：使用選項(xiàng)）- Show View（顯示視圖）菜單可顯示或隱藏“Issue Auditing（問題審計(jì)）”面板中的選項(xiàng)卡。

以上信息由專業(yè)從事源代碼審計(jì)工具fortify代理商的華克斯于2025/3/9 13:25:58發(fā)布

轉(zhuǎn)載請注明來源：http://www.chevaliers-et-troubadours.com/qyzx/hksxxkj-2846946350.html

上一條：小型功率電感誠信企業(yè)「通友智能裝備」

下一條：天津epdm塑膠跑道價(jià)格服務(wù)介紹「晟尤體育」