最新代码审计利器Fortify_SCA_v23.2.0/Windows/Linux/Mac

admin 2024年12月17日11:35:02评论76 views字数 3402阅读11分20秒阅读模式

前言

Fortify SCA 支持丰富的开发环境、语言、平台和框架,可对开发与生产混合环境进行安全检查。25 种编程语言 超过 911,000 个组件级 API 可检测超过 961 个漏洞类别 支持所有主流平台、构建环境和 IDE。

Fortify SCA是一款商业软件,价格较为昂贵,因此我只找到了一个早期的版本进行试用。因为是商业软件,它有详细的使用文档,查阅非常方便。它支持一些IDE的插件功能,在安装的时候会有选项。

Fortify SCA的代码审计功能依赖于它的规则库文件,我们可以下载更新的规则库,然后放置在安装目录下相应的位置。bin文件放置在安装目录下Coreconfigrules文件夹,xml文件放置在CoreconfigExternalMetadata文件夹(如果该文件夹没有则新建一个)。

打开Audit Workbench,点击Start New Project->Advanced Scan选项就可以快速开始一个审计任务。选择需要审计的应用程序根目录,在Additional Options选项中选择使用的规则库,在Audit Guide提出的四个问题中选择对应的选项,点击Run Scan即可。

支持的编程语言:

最新代码审计利器Fortify_SCA_v23.2.0/Windows/Linux/Mac

01 更新介绍

Fortify SCA 23.2静态代码分析器添加了以下功能:构建工具Ant 1.10.14Gradle 8.1 and 8.3Maven 3.9.4MSBuild 17.6 - 17.8xcodebuild 15 and 15.0.1语言Angular 15.1, 15.2, 16.0Apex 58Bicep v0.12.xcurrent0.12.1 → 0.14.85 (supporting .NET 6)0.15.31current (supporting .NET 7)C# 12C17Dart 3.0ECMAScript 2024Go 1.20Kotlin 1.8.NET 8.0Python 3.12Django up to 4.2React 18.0Solidity 0.4.12-0.8.21Swift 5.9TypeScript 5.0编译器Clang 15.0.0Swiftc 5.9Fortify 静态代码分析器工具中添加了以下功能:Fortify Static Code Analyzer 安装程序不再包括 Fortify Static Code Analyzer 应用程序和工具。包含一个单独的安装程序,用于安装 Fortify Static Code Analyzer 应用程序和工具。Fortify 审计工作台TerraformDartBicepSolidity 的语法源代码高亮显示。安装会自动检测安装在默认位置的 Fortify Static Code Analyzer 版本。默认情况下,Fortify Audit Workbench 不显示二进制源代码安全编码插件适用于 EclipseFortify 插件增加了对 2023-06 和 2023.06 的支持适用于 IntelliJ IDEAAndroid StudioFortify 分析插件增加了对 IntelliJ IDEA 2023.2Android Studio 2022.2 和 2022.3 的支持新报告版本OWASP MASVS 2.0CWE Top 25 2024OWASP API Top 10 2024

02 使用/安装方法

安装步骤:

一、解压补丁压缩包,把fortify.licenseFortify_SCA_23.2.0_windows_x64.exeFortify_Apps_and_Tools_23.2.0_windows_x64.exe放在同一目录,不要有中文。二、安装Fortify_SCA_23.2.0_windows_x64.exe,程序会自动找到fortify.license授权文件三、安装Fortify_Apps_and_Tools_23.2.0_windows_x64.exe,程序会自动找到fortify.license授权文件四、把fortify-common-23.2.0.0028.jar分别拷贝到 C:Program FilesFortifyFortify_SCA_23.2.0CorelibC:Program FilesFortifyFortify_Apps_and_Tools_23.2.0Corelib 下替换覆盖掉原来的五、解压Fortify_Secure_Coding_Rules_v2024.4.0.0009(离线规则库).zip 规则库,把ExternalMetadatarules文件夹拷贝到C:Program FilesFortifyFortify_SCA_23.2.0Coreconfig六、运行C:Program FilesFortifyFortify_Apps_and_Tools_23.2.0bin 下的auditworkbench.cmd 即可开启GUI界面七、根据需要配置扫描即可2、规则库直接本地无法升级规则库,离线升级及最新中英文规则库。

注意:

否则激活不了

(REMEMBER TO PUT fortify.license IN SAME PATH OF INSTALLER)

This new version of Fortify SCA has split the UI tools from the installer and made it CLI only.

To understand how to use it, refer to the user guide online or the documentation inside installer archives.

(记住将 fortify.license 放在安装程序的同一路径中)

这个新版本的 Fortify SCA 将 UI 工具从安装程序中分离出来,仅使用 CLI。

要了解如何使用它,请参阅在线用户指南或安装程序存档中的文档。

扫描测试:

ourceanalyzer –b MyProject msbuild /t:rebuild Sample.slnsourceanalyzer –b MyProject -scan -f MyResults.fprFPRUtility.bat -information -listIssues -analyzerIssueCounts -project MyResults.fprFPRUtility.bat -information -listIssues -categoryIssueCounts -project MyResults.fprE:/sdk/boost_1_82_0/boost/function/function_base.hpp:297 (Dead Code)E:/sdk/boost_1_82_0/boost/function/function_base.hpp:297 (Poor Style: Variable Never Used)E:/sdk/boost_1_82_0/boost/function/function_base.hpp:307 (Dead Code)E:/sdk/boost_1_82_0/boost/locale/util.hpp:117 (Type Mismatch: Signed to Unsigned)E:/sdk/boost_1_82_0/boost/system/detail/system_category_message_win32.hpp:92 (Dead Code)E:/sdk/boost_1_82_0/boost/system/detail/system_category_message_win32.hpp:92 (Poor Style: Variable Never Used)E:/sdk/boost_1_82_0/boost/system/detail/system_category_message_win32.hpp:94 (Poor Style: Variable Never Used)update_tool.cpp:489 (Poor Style: Value Never Read)update_tool.cpp:494 (Poor Style: Value Never Read)

03 获取方法

链接:https://pan.quark.cn/s/491094cd129c

原文始发于微信公众号(渗透安全HackTwo):最新代码审计利器Fortify_SCA_v23.2.0/Windows/Linux/Mac

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月17日11:35:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   最新代码审计利器Fortify_SCA_v23.2.0/Windows/Linux/Machttps://cn-sec.com/archives/3516399.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息