前言
Fortify SCA 支持丰富的开发环境、语言、平台和框架,可对开发与生产混合环境进行安全检查。25 种编程语言 超过 911,000 个组件级 API 可检测超过 961 个漏洞类别 支持所有主流平台、构建环境和 IDE。
Fortify SCA是一款商业软件,价格较为昂贵,因此我只找到了一个早期的版本进行试用。因为是商业软件,它有详细的使用文档,查阅非常方便。它支持一些IDE的插件功能,在安装的时候会有选项。
Fortify SCA的代码审计功能依赖于它的规则库文件,我们可以下载更新的规则库,然后放置在安装目录下相应的位置。bin文件放置在安装目录下Coreconfigrules文件夹,xml文件放置在CoreconfigExternalMetadata文件夹(如果该文件夹没有则新建一个)。
打开Audit Workbench,点击Start New Project->Advanced Scan选项就可以快速开始一个审计任务。选择需要审计的应用程序根目录,在Additional Options选项中选择使用的规则库,在Audit Guide提出的四个问题中选择对应的选项,点击Run Scan即可。
支持的编程语言:
01 更新介绍
Fortify SCA 23.2静态代码分析器添加了以下功能:
构建工具
Ant 1.10.14
Gradle 8.1 and 8.3
Maven 3.9.4
MSBuild 17.6 - 17.8
xcodebuild 15 and 15.0.1
语言
Angular 15.1, 15.2, 16.0
Apex 58
Bicep v0.12.x → current
0.12.1 → 0.14.85 (supporting .NET 6)
0.15.31 → current (supporting .NET 7)
C# 12
C17
Dart 3.0
ECMAScript 2024
Go 1.20
Kotlin 1.8
.NET 8.0
Python 3.12
Django up to 4.2
React 18.0
Solidity 0.4.12-0.8.21
Swift 5.9
TypeScript 5.0
编译器
Clang 15.0.0
Swiftc 5.9
Fortify 静态代码分析器工具中添加了以下功能:
Fortify Static Code Analyzer 安装程序不再包括 Fortify Static Code Analyzer 应用程序和工具。包含一个单独的安装程序,用于安装 Fortify Static Code Analyzer 应用程序和工具。
Fortify 审计工作台
Terraform、Dart、Bicep 和 Solidity 的语法源代码高亮显示。
安装会自动检测安装在默认位置的 Fortify Static Code Analyzer 版本。
默认情况下,Fortify Audit Workbench 不显示二进制源代码
安全编码插件
适用于 Eclipse 的 Fortify 插件增加了对 2023-06 和 2023.06 的支持
适用于 IntelliJ IDEA 和 Android Studio 的 Fortify 分析插件增加了对 IntelliJ IDEA 2023.2 和 Android Studio 2022.2 和 2022.3 的支持
新报告版本
OWASP MASVS 2.0
CWE Top 25 2024
OWASP API Top 10 2024
02 使用/安装方法
一、解压补丁压缩包,把fortify.license和Fortify_SCA_23.2.0_windows_x64.exe、Fortify_Apps_and_Tools_23.2.0_windows_x64.exe
放在同一目录,不要有中文。
二、安装Fortify_SCA_23.2.0_windows_x64.exe,程序会自动找到fortify.license授权文件
三、安装Fortify_Apps_and_Tools_23.2.0_windows_x64.exe,程序会自动找到fortify.license授权文件
四、把fortify-common-23.2.0.0028.jar分别拷贝到 C:Program FilesFortifyFortify_SCA_23.2.0Corelib
和C:Program FilesFortifyFortify_Apps_and_Tools_23.2.0Corelib 下替换覆盖掉原来的
五、解压Fortify_Secure_Coding_Rules_v2024.4.0.0009(离线规则库).zip 规则库,把ExternalMetadata和rules文件夹拷贝到C:Program FilesFortifyFortify_SCA_23.2.0Coreconfig 下
六、运行C:Program FilesFortifyFortify_Apps_and_Tools_23.2.0bin 下的auditworkbench.cmd 即可开启GUI界面
七、根据需要配置扫描即可
2、规则库
直接本地无法升级规则库,离线升级及最新中英文规则库。
注意:
否则激活不了
(REMEMBER TO PUT fortify.license IN SAME PATH OF INSTALLER)
This new version of Fortify SCA has split the UI tools from the installer and made it CLI only.
To understand how to use it, refer to the user guide online or the documentation inside installer archives.
(记住将 fortify.license 放在安装程序的同一路径中)
这个新版本的 Fortify SCA 将 UI 工具从安装程序中分离出来,仅使用 CLI。
要了解如何使用它,请参阅在线用户指南或安装程序存档中的文档。
扫描测试:
ourceanalyzer –b MyProject msbuild /t:rebuild Sample.sln
sourceanalyzer –b MyProject -scan -f MyResults.fpr
FPRUtility.bat -information -listIssues -analyzerIssueCounts -project MyResults.fpr
FPRUtility.bat -information -listIssues -categoryIssueCounts -project MyResults.fpr
E:/sdk/boost_1_82_0/boost/function/function_base.hpp:297 (Dead Code)
E:/sdk/boost_1_82_0/boost/function/function_base.hpp:297 (Poor Style: Variable Never Used)
E:/sdk/boost_1_82_0/boost/function/function_base.hpp:307 (Dead Code)
E:/sdk/boost_1_82_0/boost/locale/util.hpp:117 (Type Mismatch: Signed to Unsigned)
E:/sdk/boost_1_82_0/boost/system/detail/system_category_message_win32.hpp:92 (Dead Code)
E:/sdk/boost_1_82_0/boost/system/detail/system_category_message_win32.hpp:92 (Poor Style: Variable Never Used)
E:/sdk/boost_1_82_0/boost/system/detail/system_category_message_win32.hpp:94 (Poor Style: Variable Never Used)
update_tool.cpp:489 (Poor Style: Value Never Read)
update_tool.cpp:494 (Poor Style: Value Never Read)
03 获取方法
原文始发于微信公众号(渗透安全HackTwo):最新代码审计利器Fortify_SCA_v23.2.0/Windows/Linux/Mac
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论